Youssef-El-Attaoui/Log-Analyzer

# 📊 Log Analyzer — 入侵检测 一个 Python 工具，用于解析 Linux `auth.log` 文件，以检测暴力破解攻击、未授权访问、权限提升和可疑命令。 ## 功能特性 - **暴力破解检测** — 当同一 IP 失败尝试达到 N 次后发出警报 - **用户枚举检测** — 捕获攻击者扫描用户名的行为 - **Root 登录警报** — 标记直接的 root SSH 访问 - **可疑 sudo 命令** — 检测危险的权限提升 - **用户管理事件** — 跟踪账户的创建与删除 - **JSON 报告** 导出，便于与 SIEM 集成 ## 技术栈    ## 安装说明 ``` git clone https://github.com/Youssef-El-Attaoui/log-analyzer.git cd log-analyzer python -m pip install -r requirements.txt ``` ## 运行说明 ``` # 分析默认 Linux auth log python analyzer.py # 分析自定义 log file python analyzer.py /var/log/auth.log # Windows / demo mode（自动生成样本 log） python analyzer.py auth.log ``` ## 示例输出 ``` 🔴 [CRITICAL] Brute Force Attack IP 192.168.1.100 had 6 failed login attempts users_tried: ['root', 'admin', 'ubuntu', 'pi'] 🟠 [HIGH] Root Login Direct root login from 203.0.113.5 🔴 [CRITICAL] Suspicious Command User 'youssef' ran suspicious sudo command command: /bin/cat /etc/shadow ``` ## 警报级别 | 级别 | 描述 | |-------|-------------| | 🔴 CRITICAL | 紧急威胁 — 正在发生的攻击或违规 | | 🟠 HIGH | 严重风险 — 需立即调查 | | 🟡 MEDIUM | 可疑活动 — 需密切监控 | | 🟢 LOW | 信息提示 — 正常行为但值得关注 | **作者：** Youssef El Attaoui — 网络安全、云与网络硕士 @ Éstiam Paris

标签：AMSI绕过, CSV导出, PoC, Python, SSH安全, 协议分析, 威胁检测, 子域名变形, 子域枚举, 安全运营, 异常检测, 扫描框架, 攻击告警, 无后门, 日志解析, 暴力破解, 权限提升, 用户枚举, 红队行动, 网络安全审计, 证书伪造, 身份验证日志, 逆向工具