PhilipLykov/LogPulseAI

# LogPulse AI **基于人工智能的日志智能与SIEM平台，内置MITRE ATT&CK映射** LogPulse AI将原始日志流转化为可操作的安全与运维智能。它持续从任何来源收集、规范化和存储日志事件，然后应用多维度的AI分析来发现威胁、预测故障和检测异常——可选配MITRE ATT&CK技术识别和置信度评分——所有功能通过一个直观的实时仪表盘呈现。 ## 截图 ### 仪表盘 实时概览所有受监控系统，包含6项标准的AI评分条、活动问题徽章和最后分析时间戳。  ### 事件探索器 跨所有系统的全文搜索，支持按严重性、主机、源IP、程序和时间范围进行过滤。智能搜索模式支持自然语言查询。  ### AI使用与成本跟踪 按请求记录LLM使用日志，包含token计数、估算成本和系统级明细。支持所有OpenAI兼容模型。  ### 审计日志 不可篡改的所有管理操作记录，包含操作者跟踪、IP日志记录，支持CSV/JSON导出以满足合规要求。  ### 隐私与数据保护 可配置的PII掩码功能，内置11个类别，支持自定义正则表达式模式、字段剥离和实时测试过滤器。  ## 为何选择LogPulse AI？ ### AI驱动分析 - **6项标准事件评分** — 每个摄取的事件都会由LLM在IT安全、性能退化、故障预测、异常检测、合规/审计和运营风险六个维度进行评估。每个标准使用独立的、可调整的系统提示，让领域专家无需修改代码即可校准AI的判断。 - **基于发现的元分析** — 滑动窗口流水线将每个事件的评分聚合为整体评估，产生结构化的发现报告，并提供完整的生命周期管理：自动去重（TF-IDF + Jaccard相似度 + LLM级重复项预防）、严重性衰减，以及当问题不再重现时自动解决。发现报告现在附带可选的AI置信度（0-1）和相关MITRE ATT&CK技术ID。 - **基于内容的严重性增强** — Syslog头部的严重性信息通常不准确（例如Docker将所有日志记录为“info”）。该平台扫描消息正文以查找错误/警告指标并自动升级严重性，因此像`error: permission denied`这样的事件会被正确分类。 - **RAG“询问AI”** — 自然语言界面，用于查询您的整个事件历史记录。提出诸如*“昨晚是否有任何SSH登录失败？”*或*“总结过去一周的Docker容器问题”*等问题，并具有持久的聊天历史记录。 - **Token优化** — 通过模板提取、评分缓存、严重性预过滤和可配置批量大小进行智能去重，可在不影响分析质量的前提下将LLM成本降低高达80%。实时使用跟踪和按模型成本估算使支出透明可见。 - **JSON感知事件分组** — 结构化日志消息（Pino, Winston, Bunyan JSON）会自动解包：提取内部的`msg`/`message`字段用于去重，防止不相关的JSON事件坍缩到同一个模板中。 - **动态流水线调度** — 分析流水线根据活动水平自适应调整其间隔：当事件到达时更快（可配置的最小值，默认15分钟），在安静时期呈指数退避至可配置的最大值（默认2小时），最大限度地减少空闲系统的LLM调用。 - **异步重新评估流程** — 手动重新评估在后台运行，并提供实时进度轮询：首先对未评分的事件进行评分，重新计算有效评分，然后使用新的上下文窗口触发LLM元分析。UI显示已用时间并在完成后自动刷新。可配置时间窗口（默认7天）和事件上限（默认500）。 - **生产级日志记录** — 跨所有后端模块的集中式、级别感知日志记录。自动请求日志记录已禁用，以防止自摄取循环。`LOG_LEVEL`环境变量控制详细程度（生产环境Docker默认为`warn`，开发环境为`info`）。Fluent Bit自过滤模式通过命名约定自动检测项目容器。 ### 用户体验与界面 - **实时仪表盘** — 按系统实时显示所有6项标准的评分条，并通过SSE自动刷新。点击任何评分条可深入查看贡献事件，透明分解显示有多少来自AI元分析与单个事件评分。 - **事件探索器** — 全文搜索，支持按系统、严重性、主机、源IP或程序进行即时过滤。分页结果支持直接页面导航输入、关键字高亮、可排序列、过滤计数指示器，以及通过trace ID或消息关联进行跨系统事件追踪。 - **AI发现面板** — 标签页界面（打开/已确认/已解决），支持一键确认、批量操作和自动生命周期转换。每个发现都显示一个“显示事件”按钮以查看触发它的源事件。元分析摘要被突出显示并具有视觉区分。 - **按组事件确认** — 可从标准深入视图中一键确认单个事件组。多个组可以同时确认而不阻塞。后台评分重计算使用异步合并队列以避免数据库争用，同时确保所有更改得到反映。已确认的事件会从评分计算和元分析中排除。使用“显示已确认”复选框切换已确认事件的可见性。 - **完全GUI可配置** — 每个设置都可通过Web界面调整：AI模型参数、系统提示、通知渠道、数据库维护计划、隐私过滤器、用户帐户和API密钥。初次部署后无需SSH或编辑配置文件。 - **响应式警报** — 可视化通知配置，每个渠道都有测试按钮。定义包含严重性阈值、静默窗口、限流和恢复通知的警报规则。 - **定时报告** — 在**设置 > 通知 > 定时报告**中配置定期摘要/CSV/JSON报告，通过现有通知渠道路由，并支持一键手动执行报告。 ### 安全与隐私 - **基于角色的访问控制（RBAC）** — 三个内置角色（管理员、审计员、监控代理），具有20个细粒度权限，控制对每个UI元素和API端点的访问。审计员获得只读访问权限；监控代理可以看到仪表盘和确认事件，但不能更改设置。 - **用户管理** — 用户名/密码认证，使用bcrypt哈希（cost 12），强制密码复杂度（12+字符，混合大小写，数字，特殊字符），多次尝试失败后自动锁定帐户，首次登录时强制更改密码。 - **会话与API密钥安全** — 会话使用加密随机token，存储为SHA-256哈希，并可配置过期时间。API密钥支持基于范围的权限、IP允许列表、过期日期和一键撤销。 - **不可篡改的审计日志** — 每个管理操作都记录时间戳、操作者、IP地址和完整详情。PostgreSQL触发器物理阻止对审计记录的修改或删除。可导出为CSV或JSON以满足合规报告要求。 - **隐私控制** — PII掩码（IP地址、电子邮件、电话号码、URL、MAC地址、信用卡、密码、API密钥、用户名），支持可配置的自定义正则表达式模式。字段剥离在LLM提交前移除敏感字段。带确认防护的批量事件删除。 - **OWASP Top 10合规** — 参数化查询（A03），通过Helmet设置安全头（A05），速率限制（A04），密钥仅存储在环境变量中（A02），非root Docker容器（A05），通用错误消息（A07），全面的安全日志记录（A09），以及所有连接器URL（包括Kafka REST Proxy `base_uri` 响应）的SSRF防护（A10）。 ### 可扩展性 - **基于时间的表分区** — 事件表按月自动分区。新分区按需创建；旧数据通过删除整个分区而非逐行删除来清理，从而可以即时清理数百万条记录。 - **高效索引** — 在system_id + timestamp、severity、source_ip、全文搜索上建立复合索引，并为meta_results、effective_scores和已确认事件优化了热路径索引。定期进行REINDEX CONCURRENTLY和VACUUM ANALYZE，以保持数据增长时查询性能的稳定。 - **可配置的数据保留** — 全局和按系统的保留策略自动清除旧事件。结合分区功能，这允许不同系统拥有不同的保留窗口（例如，调试日志保留30天，安全事件保留365天）。 - **水平事件摄取** — 无状态的摄取API支持同时从任意数量的日志发送器接收三种JSON格式（批处理、数组、单个）的事件。兼容Fluent Bit、Vector、Logstash、rsyslog和自定义HTTP客户端。 - **内置日志收集器** — 可选的Fluent Bit容器接收Syslog（UDP/TCP）和OpenTelemetry（OTLP/HTTP + gRPC）并转发到摄取API。使用`--profile collector`部署。来自OTel/Beats代理的ECS字段会被自动扁平化。应用级多行合并在日志到达后端之前重新组装跨越多行的Docker容器日志（数组、堆栈跟踪、格式化对象）。 - **自动化数据库备份** — 使用pg_dump进行定时备份，可配置格式（自定义二进制或纯SQL）、保留限制，并支持从UI直接下载。 - **Elasticsearch集成** — 混合事件存储：每个受监控系统可以直接从现有Elasticsearch集群读取事件（只读），而AI分析结果保存在PostgreSQL中。支持多个ES连接、索引浏览器、字段自动检测和ECS字段扁平化。无需复制日志数据。 ### 企业级特性 - **多系统监控** — 从单个部署监控无限系统。每个系统都有独立的日志源选择器（基于正则表达式的字段匹配，带优先级排序）、保留策略和AI分析流水线。 - **自动系统发现** — 未匹配的传入事件会自动缓冲并按主机、源IP和程序进行分组。系统检测新的日志源，生成智能名称，使用可配置的阈值和正则表达式忽略模式过滤噪音，检查现有系统亲和力，并在仪表盘横幅中提出建议。用户可以接受（创建新系统 + 日志源）、合并到现有系统或忽略建议——所有操作都在UI中完成。完全可配置：分组依据开关、最小事件阈值、速率过滤器、缓冲区TTL和自动接受模式。 - **DST感知时区支持** — 每个受监控系统可以指定一个IANA时区（例如`Europe/Berlin`）以进行自动DST感知时间戳校正。系统计算每个事件时间戳处的正确UTC偏移量，自动处理夏令时/冬令时转换。三种模式选择器：无、IANA时区（DST感知）或固定UTC偏移。 - **自动时区检测助手** — 对于非ES系统，系统可以通过比较事件`timestamp`与`received_at`的漂移（至少3小时内至少20个事件）来提出时区设置建议。UI在应用更改前显示置信度统计、建议偏移和可选IANA时区。 - **带OR组的灵活日志源匹配** — 基于正则表达式的选择器通过任意字段组合（主机、source_ip、服务、程序、设施）将传入事件匹配到系统。多个AND条件组可以通过OR逻辑组合，实现复杂的路由规则，如“匹配(host=web-01 AND program=nginx) OR (host=web-02 AND program=nginx)”。优先级排序确保特定规则优先于通用规则。 - **每源解析配置文件** — 每个日志源可以选择确定性解析配置文件（`none`, `common`, `docker`, `cron`, `proxmox`, PostgreSQL, MySQL/MariaDB, Apache, nginx, Cisco, MikroTik, ProCurve, Asterisk, systemd, OpenSSH, iptables, postfix, HAProxy）。配置文件定义多行模式、提取正则表达式和严重性覆盖，UI提示明确显示“底层”和结果中的变化。 - **全面的警报功能** — 五种通知渠道（Webhook, Pushover, NTfy, Gotify, Telegram），支持可配置的规则、严重性阈值、静默窗口、限流间隔和恢复警报。密钥通过环境变量引用——绝不存储在数据库中。 - **合规导出** — 一键导出事件、评分和发现，格式为CSV或JSON，用于法规遵从和外部审计，包含可用时的AI分析置信度。 - **每标准AI提示** — 6个评分标准中的每个都有独立可配置的系统提示，允许安全团队注入特定领域的指导（例如，为IT安全标准设置*“标记任何SSH暴力破解模式”*，为性能标准设置*“注意磁盘I/O饱和”*）。 - **LLM提供商灵活性** — 可与任何OpenAI兼容的API协同工作（OpenAI, Azure OpenAI, Ollama, LM Studio, vLLM）。通过GUI更改模型或提供商，无需重新部署。 - **外部拉取连接器** — 无需替换现有技术栈即可从现有平台摄取数据：可通过连接器API使用Elasticsearch, Loki, LogTide, VictoriaLogs, RabbitMQ和Kafka REST Proxy连接器类型。 ## 架构 ``` ┌─────────────────────────────────────────────┐ │ Log Sources │ │ Syslog (UDP/TCP) │ OpenTelemetry (OTLP) │ │ Beats / Logstash │ Custom HTTP clients │ └────────┬──────────────────┬─────────────────┘ │ │ ┌─────────────▼──────────┐ │ │ Fluent Bit Collector │ │ │ (--profile collector) │ │ │ Syslog + OTel inputs │ │ └─────────────┬──────────┘ │ │ │ ┌────────▼──────────────────▼─────────────────┐ │ Ingest API (HTTP) │ │ ECS Flatten → Normalize → Severity Enrich │ │ → Source Match → Privacy Redact → Persist │ │ (unmatched → Discovery Buffer) │ └────────┬────────────────────────────────────┘ │ ┌──────────────────▼───────────────────────────────┐ │ Event Storage │ │ PostgreSQL (default) │ Elasticsearch (hybrid) │ └──────────┬─────────────────────┬─────────────────┘ │ │ ┌──────────▼─────────────────────▼─────────────────┐ │ AI Pipeline │ │ Dedup → Per-Event Scoring → Windowing │ │ → Meta-Analysis → Finding Dedup (TF-IDF) │ │ → Discovery Grouping Engine │ └────────────────────┬─────────────────────────────┘ │ ┌────────────────────▼─────────────────────────────┐ │ Dashboard (React) ←→ Alerting Engine │ │ • Event Explorer (search, filter, trace, ack) │ │ • AI Findings (open, acknowledged, resolved) │ │ • RAG "Ask AI" (natural language queries) │ │ • Settings (AI, Elasticsearch, privacy, DB) │ │ • User Management (RBAC, API keys, audit log) │ │ • LLM Usage & Cost Tracking │ └──────────────────────────────────────────────────┘ ``` ## 技术栈 | 组件 | 技术 | |------|------| | 后端 | Node.js 22, Fastify, TypeScript | | 数据库 | PostgreSQL 14+ (分区), Knex.js 迁移, Elasticsearch 7+/8+ (可选, 只读混合) | | 前端 | React 19, Vite, TypeScript | | AI | OpenAI兼容API (GPT-4o-mini, GPT-4.1, GPT-5, o3/o4-mini, Ollama 等) | | 认证 | bcrypt, SHA-256 会话token, RBAC (20个权限) | | 部署 | Docker, docker-compose, nginx | | 安全 | Helmet, CORS, 速率限制, 不可篡改审计日志 | ## 安装指南 ### 快速开始 (Docker — 5分钟) 您只需要Docker。AI模型和API密钥在首次登录后通过Web UI进行配置。 #### 选项A — 全内置 (包含PostgreSQL) 所有组件运行在Docker内部——无需外部数据库。 ``` git clone https://github.com/PhilipLykov/LogPulseAI.git cd LogPulseAI/docker cp .env.example .env # 编辑 .env 文件：设置 DB_PASSWORD（选择任意强密码）和 DB_HOST=postgres docker compose --profile db up -d --build ``` #### 选项B — 外部PostgreSQL (使用您自己的数据库) 使用您现有的PostgreSQL服务器。只有后端和仪表盘运行在Docker中。 ``` git clone https://github.com/PhilipLykov/LogPulseAI.git cd LogPulseAI/docker cp .env.example .env # 编辑 .env 文件：设置 DB_HOST=<您的PostgreSQL服务器IP> 和 DB_PASSWORD docker compose up -d --build ``` #### 可选：启用日志收集器 (Syslog + OpenTelemetry) 添加 `--profile collector` 以直接通过Syslog和OTel接收日志： ``` # 首先在 .env 中设置 INGEST_API_KEY（在 设置 > API Keys 中创建） docker compose --profile db --profile collector up -d --build ``` 这将启动一个Fluent Bit容器，监听**端口5140** (Syslog UDP/TCP) 和**端口4318** (OpenTelemetry OTLP/HTTP + gRPC)。 #### 首次登录 ``` docker compose exec backend sh -lc "cat /app/bootstrap-secrets.txt" # 在浏览器中打开 http://localhost:8070 ``` 使用显示的用户名和密码登录。首次登录时系统会提示您更改密码。然后前往**设置 > AI模型**配置您的LLM API密钥。 ## API概述 所有端点都需要通过 `Authorization: Bearer ` 头或 `X-API-Key` 头进行身份验证。 | 类别 | 端点 | 描述 | |------|------|------| | **认证** | `POST /api/v1/auth/login`, `/logout`, `/me`, `/change-password` | 基于会话的认证 | | **用户** | `GET/POST/PUT/DELETE /api/v1/users` | 用户增删改查及角色分配 | | **API密钥** | `GET/POST/PUT/DELETE /api/v1/api-keys` | 密钥管理，支持作用域和IP允许列表 | | **审计日志** | `GET /api/v1/audit-log`, `/export` | 不可篡改审计跟踪，支持CSV/JSON导出 | | **摄取** | `POST /api/v1/ingest` | 批量事件摄取（3种JSON格式） | | **系统** | `GET/POST/PUT/DELETE /api/v1/systems` | 受监控系统增删改查 | | **源** | `GET/POST/PUT/DELETE /api/v1/sources` | 日志源选择器增删改查，可选绑定解析配置文件 | | **解析配置文件** | `GET /api/v1/parse-profiles` | 可用的解析器配置文件、类别、多行模式和UI说明 | | **事件** | `GET /api/v1/events/search`, `/facets`, `/trace` | 搜索、过滤、跨系统追踪 | | **仪表盘** | `GET /api/v1/dashboard/systems` | 带评分的概览 | | **评分** | `GET /api/v1/scores/systems`, `/stream` | 有效评分，SSE流 | | **发现** | `GET /api/v1/systems/:id/findings` | 带生命周期的AI发现 | | **RAG** | `POST /api/v1/ask` | 自然语言事件查询 | | **AI配置** | `GET/PUT /api/v1/ai-config`, `/ai-prompts` | 模型和提示配置 | | **警报** | `GET/POST/PUT/DELETE /api/v1/notification-channels`, `/notification-rules`, `/silences` | 通知管理 | | **定时报告** | `GET/POST/PUT/DELETE /api/v1/scheduled-reports`, `POST /api/v1/scheduled-reports/:id/run-now` | 定期报告管理和手动执行 | | **连接器** | `GET/POST/PUT/DELETE /api/v1/connectors`, `GET /api/v1/connectors/types` | 外部拉取连接器管理 | | **发现** | `GET/PUT /api/v1/discovery/config`, `GET /api/v1/discovery/suggestions`, `/count`, `POST /:id/accept`, `/:id/merge`, `/:id/dismiss` | 自动发现配置和建议管理 | | **Elasticsearch** | `GET/POST/PUT/DELETE /api/v1/elasticsearch/connections`, `/test`, `/:id/indices`, `/:id/mapping`, `/:id/preview` | ES连接增删改查、测试、索引浏览器 | | **数据库信息** | `GET /api/v1/database/info` | PostgreSQL + Elasticsearch 状态概览 | | **维护** | `GET/PUT /api/v1/maintenance-config`, `/backup/*` | 数据库维护和备份 | | **隐私** | `GET/PUT /api/v1/privacy-config` | PII掩码配置 | ## LLM成本优化 部署AI驱动的日志分析时，最常见的担忧之一是LLM API成本。LogPulse AI实施了**16项独立的优化技术**，协同工作可将token使用量比朴素的逐事件分析减少高达80-95%——同时不牺牲检测质量。所有优化都可通过**Web UI配置**，并附带开箱即用的合理默认值。 ### 工作原理 ``` Raw Events (thousands/min) │ ▼ ┌──────────────────────────┐ │ 1. Template Dedup │── Groups identical message patterns (e.g., 500 identical │ │ "link up/down" events become 1 template with count=500) └──────────┬───────────────┘ ▼ ┌──────────────────────────┐ │ 2. Pre-Filters │── Severity filter, normal-behavior filter, privacy filter │ │ skip known-routine events without any LLM call └──────────┬───────────────┘ ▼ ┌──────────────────────────┐ │ 3. Score Caching │── Previously scored templates reuse cached results │ (TTL: 6 hours) │ for up to 6 hours (configurable) └──────────┬───────────────┘ ▼ ┌──────────────────────────┐ │ 4. Batched LLM Calls │── Remaining templates sent in batches of 20 │ (20 per call) │ with truncated messages (512 chars max) └──────────┬───────────────┘ ▼ ┌──────────────────────────┐ │ 5. Smart Meta-Analysis │── Zero-score windows skip LLM entirely; │ │ zero-score events filtered from prompt └──────────┬───────────────┘ ▼ AI Scores & Findings ``` ### 优化技术 | # | 技术 | 描述 | 默认 | UI可配置 | |---|------|------|------|----------| | 1 | **模板去重** | 按消息模式（模板提取）对事件分组。不是对500个相同的“link up”事件评分，而是对1个计数为500的模板进行评分。仅此一项通常可将重复日志源的LLM调用减少90%以上。 | 始终开启 | — | | 2 | **评分缓存** | 按模板缓存LLM评分。如果相同的消息模式在TTL窗口内已被评分，则重用缓存结果。消除流水线运行之间的冗余调用。 | 开启（6小时TTL） | 是 | | 3 | **正常行为过滤** | 匹配用户定义的“标记为正常”模板的事件，无需任何LLM调用即自动评分为0。操作员教导系统什么是常规操作，从而永久地从分析中消除噪音。 | 开启（当存在模板时） | 是 | | 4 | **严重性预过滤** | 指定严重性级别（例如debug）的事件，无需LLM调用即自动评分为0。适用于产生数千个低价值调试事件的嘈杂系统。 | 关闭 | 是 | | 5 | **低分自动跳过** | 在多次流水线运行中持续被评分为接近零的模板，会被自动评分为0。LLM“教导”系统什么是噪音，系统就不再询问。 | 关闭 | 是 | | 6 | **消息截断** | 事件消息在LLM提交前被截断到可配置的最大长度。诊断价值几乎总是在前几百个字符内；长堆栈跟踪浪费token。 | 开启（512字符） | 是 | | 7 | **批量大小** | 多个模板被分组到一个LLM API调用中。系统提示每个批次发送一次，而不是每个事件一次，减少开销。 | 开启（每批20个） | 是 | | 8 | **零分窗口跳过 (O1)** | 当分析窗口中的每个事件在逐事件评分期间都得分为0时，完全跳过元分析LLM调用。写入合成的“无问题”结果。对安静系统节省最多。 | 开启 | 是 | | 9 | **零分事件过滤 (O2)** | 得分为0的事件被排除在元分析提示之外，减少输入token。只有非零评分的事件才会被发送进行更高级别的分析。 | 开启 | 是 | | 10 | **高分优先级** | 在应用元分析事件上限之前，事件按分数降序排序。这确保了最重要的事件始终被包含，即使达到上限。 | 开启 | 是 | | 11 | **元分析事件上限** | 每个窗口发送到元分析的事件硬性上限。防止在非常活跃的系统上token爆炸，同时通过高分优先级确保分析质量。 | 开启（200个事件） | 是 | | 12 | **按任务模型选择** | 对不同任务使用不同模型：对逐事件评分使用较便宜的模型（例如`gpt-4o-mini`），对元分析摘要使用更强大的模型（例如`gpt-4o`）。优化每个任务的成本质量比。 | 关闭（使用全局模型） | 是 | | 13 | **可配置的流水线间隔** | 调整分析流水线运行的频率。自适应调度：活动时重置为最小值，空闲时退避到最大值。 | 开启（自适应15-120分钟） | 是 | | 14 | **评分块大小** | 控制评分循环的批量获取大小。流水线分块处理所有未评分的事件（带有10分钟的时间保护），因此没有事件会被永久跳过。较小的块减少内存使用；较大的块减少数据库往返。 | 开启（每块5000个） | 是 | | 15 | **隐私过滤** | 在LLM提交前剥离或掩码PII字段（IP、电子邮件、路径、凭据）。除了隐私合规，这还通过从提示中移除非诊断数据来减少token数量。 | 关闭 | 是 | | 16 | **可配置的上下文窗口** | 控制包含多少个先前的分析摘要作为LLM上下文。更少的摘要 = 更少的输入token。可根据您的分析需要多少历史上下文进行调整。 | 开启（5个窗口） | 是 | ### 成本跟踪 LogPulse AI跟踪每个LLM API调用，包括： - **按请求指标**：使用的模型、输入/输出token、估算成本（美元） - **按系统分解**：查看哪些受监控系统消耗的token最多 - **每日使用图表**：可视化随时间的支出趋势 - **任务级跟踪**：对评分、元分析和RAG查询进行单独跟踪 所有使用数据都可通过Web UI中的**设置 > LLM使用情况**仪表盘访问。 ### 典型成本概况 在默认设置和中等日志量（跨5个系统每天约10,000个事件）下，用户通常会看到： | 模型 | 估算月度成本 | |------|--------------| | `gpt-4o-mini` (推荐) | $2 – $10 | | `gpt-4o` | $15 – $60 | | 自托管 (Ollama/vLLM) | $0 (仅硬件成本) | ## 项目文档 | 文档 | 内容 | |------|------| | [更新日志](./CHANGELOG.md) | 带详细更改说明的发布历史 | | [安装指南](./INSTALL.md) | 完整的安装和部署指南 | | [AI分析规范](./AI_ANALYSIS_SPEC.md) | 评分标准、元分析、仪表盘规范 | | [功能与集成](./FEATURES_AND_INTEGRATIONS.md) | 连接器、通知、功能规范 | | [安全OWASP规范](./SECURITY_OWASP.md) | OWASP Top 10合规映射 | ## 许可证 MIT

标签：6标准AI评分, AI安全分析, AI成本跟踪, AMSI绕过, Elasticsearch集成, Kafka集成, Loki集成, MITM代理, MITRE ATT&CK映射, Petitpotam, PII过滤, ProjectDiscovery, RabbitMQ集成, RBAC, SIEM平台, VictoriaLogs集成, 元分析, 全文搜索, 威胁检测, 安全运营, 实时仪表板, 审计日志, 异常检测, 扫描框架, 故障预测, 数据保护, 日志存储, 日志归一化, 日志收集, 日志智能, 测试用例, 网络安全, 自动化攻击, 自然语言查询, 请求拦截, 运维风险, 隐私保护