Joy-CG/LogSentinel-2.0-AI-Assistant-Powered-by-Claude-API

# 🛡️ LogSentinel 2.0 — AI 驱动的日志分析与威胁检测工具 一款基于 Python 和 Tkinter 构建的桌面日志分析器，内置使用 Claude API 的 AI 驱动 SOC（安全运营中心）分流助手。这是一个网络安全作品集项目，涵盖威胁检测、MITRE ATT&CK 映射、GeoIP 分析和日志取证等功能。 ## 功能特性 - **多格式支持** — Apache/Nginx、Windows Event Logs、syslog、通用文本日志 - **AI 分流助手** — 基于 Claude 的 SOC 聊天机器人，可分析警报、映射 MITRE ATT&CK 并指导分流步骤 - **失败登录检测** — 标记所有日志类型的身份验证失败 - **IP 威胁报告** — 追踪每个 IP 的失败尝试次数，标记暴力破解攻击者 - **GeoIP 查询** — 解析每个可疑 IP 的国家、城市和 ISP - **IP 白名单 / 黑名单** — 持久化列表，在所有报告中标记 IP - **关键词 / 正则表达式搜索** — 在整个日志中搜索任何术语或模式 - **实时日志监控** — 实时 tail -f 风格监控，带有颜色编码的警报 - **SIEM 风格仪表板** — 统计卡片、条形图和威胁时间轴 - **电子邮件警报** — 通过 SMTP 发送关于关键发现的邮件报告 - **导出报告** — 将发现保存为 `.txt` 或 `.csv` ## 安装说明 无外部依赖 — 仅使用 Python 标准库。 ``` python main.py ``` 要使用 AI 分流助手，请在 **console.anthropic.com** 获取免费 API Key，并通过分流标签页中的 `[ API KEY ]` 按钮输入。 ## AI 分流助手 AI 分流（Triage）标签页允许你粘贴任何原始警报或日志行，并获得完整的 SOC 风格分析，包括： | 输出 | 描述 | |---|---| | 威胁分类 | 攻击或事件的类型 | | 严重程度评级 | CRITICAL / HIGH / MEDIUM / LOW 及其理由 | | 分流步骤 | 逐步调查演练 | | 建议操作 | 封禁 IP、上报、调查主机等 | | MITRE ATT&CK 映射 | 技术ID，例如 T1110 - Brute Force | | 误报检查 | 可能表明该事件为良性的指标 | 支持多轮对话 —— 你可以提出后续问题，它会记住上下文。使用 **From Report** 自动将最新的分析结果加载到分流输入中。 ## 仪表板 SIEM 风格的仪表板显示： | 组件 | 描述 | |---|---| | 统计卡片 | 标记的事件、暴力破解 IP、失败认证、可疑 IP、关键词命中 | | Top Threat IPs | 最活跃威胁 IP 的水平条形图 | | Event Breakdown | 威胁类型的条形图 | | Threat Timeline | 日志中标记事件的折线图 | ## 检测能力 | 威胁 | 方法 | |---|---| | 暴力破解登录 | 统计每个 IP 的失败登录次数，超过阈值时发出警报 | | 失败身份验证 | 正则表达式："Failed password"、"Audit Failure"、HTTP 401 等 | | 路径遍历 | 检测 Web 日志中的 `../../` 模式 | | SQL 注入 | 检测 `UNION SELECT` 及类似模式 | | XSS 尝试 | 检测请求路径中的 `