AfonsecaOutsys/LogHunter

## 背景 LogHunter 是一款外部日志分析工具，旨在简化以下内容的调查： - AWS ALB 日志（边缘流量 + WAF 结果） - IIS 日志（请求行为） - OutSystems Platform 日志（应用/运行时信号） 它提供高性能、直观的工作流，以加速故障排除和深入诊断。 ## 目的 LogHunter 专为安全和事件调查而构建，可快速将原始日志转化为可操作的证据： - **谁**：Top IP、峰值/突发流量、惯犯 - **什么**：Top 端点/URI、状态码、扫描/探测模式 - **可能的成功**：从 4xx/5xx 噪声中转向敏感路径上的 2xx/3xx，并与 IIS/Platform 日志关联 - **何时 / 影响**：时间线视图（例如，5 分钟 IP 分段） - **移交**：CSV/HTML 导出，用于 SOC/客户证据和后续检查 ## 主要优势 - **速度**：针对大型操作进行优化，通常比临时的命令行分析显著更快 - **容量**：专为大型数据集设计（通常 20GB+） - **设置**：便携可执行文件，已发布版本的用户无需繁重的本地设置 ## 导航和使用说明 首次运行时，LogHunter 会创建以下文件夹： - `ALB` - `IIS` - `PlatformLogs` - `output` 将每种日志类型放入其各自的文件夹中，并运行匹配的模块。生成的 CSV 文件和图表将写入 `output`。 对于 ALB，也可以直接从工具内部下载日志。 ## 先决条件 ### ALB 日志下载所需 - AWS CLI v2 - 已为目标 ALB 日志桶/时间范围配置访问权限 ### 可选 - AbuseIPDB API 密钥（在达到请求限制之前，可以使用内置的默认密钥） ## 模块和命令 ## ALB 工具 (AWS Application Load Balancer) ALB 模块专注于边缘流量分流：谁在访问您的边缘、他们的目标是什么、何时发生峰值、WAF 是否阻止了请求，以及延迟增加的位置。 命令： 1. **下载日志** 2. **端点/路径片段的完整路径 Top 榜（无查询字符串）** 3. **总体 Top 50 IP** 4. **按 URI 分组的 Top 50 IP（无查询字符串）** 5. **按平均持续时间排序的请求（按目标过滤）** 6. **每 5 分钟每个 IP 的请求数（图表 + CSV）** 7. **WAF 阻止摘要 + Top 50 被阻止请求** 8. **随时间变化的 WAF 阻止情况** ## IIS 工具 (Internet Information Services) IIS 模块专注于利用响应行为和突发检测进行请求分流，然后转向可能成功的流量。 命令： 1. **4xx → 选取可疑 IP → 转向 2xx/3xx** 2. **突发模式**（10s, 30s, 60s, 300s 分段） 3. **Top 带宽 IP 和 URI (`sc-bytes`)** 4. **上传和载荷尝试 (`cs-bytes`)** ## Platform 工具 (OutSystems Platform 日志) Platform 模块处理 Platform 导出（CSV/XLSX）以提取可疑源 IP 并检查已认证的活动信号。 命令： 1. **可疑请求：提取 IP** 2. **可疑 IP：已认证活动检查** 3. **已认证 IP 缓存视图** ## IP 信誉工具 (AbuseIPDB) 此模块利用外部信誉上下文丰富可疑 IP 分析（作为佐证，而非基本事实）。 命令： 1. **从输出 CSV 检查 IP** 2. **从 IIS 突发会话检查 IP** 3. **从 Platform 可疑缓存检查 IP** 输出： - 带有分数/上下文的丰富化 CSV - 基于行为 + 信誉的置信度分层（高 / 中 / 低） ## 运行 ``` LogHunter.exe ``` ## 内部分类说明 此工具及相关操作文档仅供内部使用。

标签：AWS ALB, IIS日志, OutSystems, PB级数据处理, Triage, WAF, 取证工具, 大数据处理, 安全事件, 安全调查, 安全运维, 库, 应急响应, 数据解析, 日志可视化