CyberSecRYAN/python-log-analyzer

# Python 日志分析器 一个基于 Python 的网络安全项目，专注于分析身份验证日志、识别可疑的登录活动，并以 SOC 风格的工作流记录分析结果。 本项目作为我亲自实践的网络安全作品集的一部分而构建，旨在展示我在 Python 脚本编写、日志分析、检测逻辑、文档编写以及蓝队基础知识方面的实用技能。 ## 项目状态 **状态：** 版本 1 已完成 版本 1 可以分析示例身份验证日志文件，识别重复的失败登录尝试，标记可疑的 IP 地址，并生成 SOC 风格的分析结果摘要。 ## 项目目标 本项目的目标在于： * 练习用于网络安全任务的 Python 脚本编写 * 分析身份验证日志以检测可疑行为 * 识别重复的失败登录尝试 * 检测异常的 IP 活动 * 以清晰、专业的格式记录分析结果 * 构建一个能展示实际 SOC 和 IT 支持能力的项目 ## 展示技能 * Python 脚本编写 * 日志解析 * 正则表达式 * 文件处理 * 条件逻辑 * 模式检测 * 安全文档编写 * SOC 风格分析 * 技术故障排除 ## 当前功能 * 读取示例身份验证日志文件 * 检测失败的登录尝试 * 检测成功的登录活动 * 按 IP 地址统计失败的登录尝试次数 * 标记达到或超过可疑活动阈值的 IP 地址 * 追踪可疑 IP 尝试使用的用户名 * 生成 Markdown 格式的分析结果报告 * 将分析结果输出到终端 ## 仓库结构 ``` python-log-analyzer/ ├── README.md ├── src/ │ └── log_analyzer.py ├── sample_logs/ │ └── sample_auth.log ├── findings/ │ └── findings_summary.md ├── .gitignore └── LICENSE ``` ## 文件说明 * `src/log_analyzer.py` 包含用于分析日志文件的 Python 脚本。 * `sample_logs/sample_auth.log` 包含示例身份验证日志数据。 * `findings/findings_summary.md` 包含根据示例日志分析生成的 SOC 风格分析结果报告。 ## 如何运行 在仓库的根目录下，运行： ``` python src/log_analyzer.py ``` 该脚本将分析示例身份验证日志，并创建或更新： ``` findings/findings_summary.md ``` ## 示例用例 SOC 分析师或 IT 支持技术人员可能需要审查身份验证日志，以识别可疑行为，例如重复的失败登录尝试、暴力破解活动或异常的访问模式。 该工具通过分析示例日志并生成潜在安全问题的清晰摘要，模拟了这一工作流程。 ## 检测逻辑 版本 1 专注于简单的检测逻辑，包括： * 来自同一 IP 地址的多次失败登录尝试 * 可疑的用户名尝试 * 重复的身份验证失败 * 暴力破解行为的基本指标 当前的可疑活动阈值设定为**来自同一 IP 地址的 3 次或更多次失败登录尝试**。 ## 分析结果摘要 示例日志分析识别出： * 10 次失败登录事件 * 2 次成功登录事件 * 3 个存在失败登录的唯一 IP 地址 * 3 个被标记以供审查的可疑 IP 地址 分析结果报告包含了分析师备注和推荐的后续步骤。 ## 项目意义 日志分析是网络安全、SOC、NOC 和 IT 支持岗位的核心技能。本项目展示了审查技术数据、识别模式、解释分析结果以及以专业方式记录安全问题的能力。 ## 未来改进 未来的版本可能包括： * CSV 或 JSON 输出 * 更高级的检测规则 * 基本的严重性评级 * 命令行参数 * 额外的日志类型 * 基于时间戳的分析 * 自动化报告的改进 ## 与我联系 * **LinkedIn:** [linkedin.com/in/cyberotto](https://www.linkedin.com/in/cyberotto) * **GitHub:** [github.com/CyberSecRYAN](https://github.com/CyberSecRYAN) * **Email:** [ryanmshaw@proton.me](mailto:ryanmshaw@proton.me)

标签：Python, 安全运营, 扫描框架, 无后门, 自动化报告, 行为检测, 逆向工具, 防御加固