fergim92/log-triage

# log-triage 用于对 Linux、web 和 journald 日志进行初步分诊的防御性 CLI。其目标是将原始日志文件转化为一阶 SOC 工作流中可操作的发现：检测模式、确定优先级、丰富 IP 并生成简要报告。 ## 涵盖场景 - 基于失败次数的 SSH 暴力破解。 - 同一 IP 在多次失败后的成功登录。 - 基于大量 `404` 响应的 Web 扫描。 - 搜索敏感路径，如 `/.env`、`/wp-admin` 或 `/phpmyadmin`。 - 通过 `sudo`/PAM 的身份验证失败。 ## 快速使用 ``` python -m log_triage.cli data/auth.log data/access.log --format md python -m log_triage.cli data/auth.log --format json --out incident-report.json ``` 从本地 checkout 开始： ``` python -m unittest discover -s tests ``` ## 输出示例 ``` # 事件 triage 报告 Summary - Events parsed: 18 - Findings: 4 - High severity: 2 Findings ## 来自 203.0.113.44 的 SSH brute force Severity: high MITRE ATT&CK: T1110 - Brute Force Recommendation: block or rate-limit the source IP, verify impacted accounts, and review successful logins. ``` ## 结构 - `src/log_triage/`：parser、检测引擎、enriquecimiento 和报告渲染。 - `data/`：实验室合成日志。 - `docs/`：事件报告示例。 - `tests/`：parsing 和检测的单元测试。 ## 安全提示 包含的数据均为合成数据，可安全发布。本项目专注于防御、监控和初步响应。

标签：Homebrew安装, Python, 安全运营(SOC), 文档结构分析, 无后门, 逆向工具, 防御加固