tridevsharma01/siem-lite-log-analyzer

# siem-lite-log-analyzer 一个使用 Python 构建的轻量级 SIEM 风格日志分析工具。解析 Windows 安全事件日志和 Linux auth.log 文件，使用自定义的基于规则的检测引擎（包含暴力破解、凭据窃取、权限提升、横向移动、非工作时间登录等）对事件进行关联分析，并在仪表盘中将结果可视化。已完全通过单元测试。 # SIEM-Lite：日志分析与检测仪表盘 (Python) 一个轻量级的 SIEM 风格日志分析工具，能够解析 *Windows 安全事件日志*（导出为 CSV）和 *Linux auth.log* 文件，使用基于规则的检测引擎对事件进行关联分析，并在仪表盘上将发现的问题可视化。 该项目采用了与网络 IDS 项目相同且经验证的架构构建：解析器 → 检测引擎 → 告警日志记录 → 仪表盘，在接触真实日志之前，所有功能均已针对合成数据完成了单元测试。 ## 此仓库包含的内容 | 文件 | 描述 | |------|--------------| | parsers.py | 将 Windows 安全事件 CSV 导出文件和 Linux auth.log 标准化为通用的事件格式 | | engine.py | 关联引擎 —— 包含 6 条检测规则：暴力破解、凭据窃取模式、权限提升、账户变更、横向移动、非工作时间登录 | | alert_log.py | 控制台输出 + JSON-lines 告警日志记录 | | analyze_logs.py | 主入口点 —— 针对真实日志文件运行此脚本 | | generate_demo_logs.py | 生成包含 6 种内置攻击场景的真实合成日志，无需真实日志即可进行测试/演示 | | dashboard.py | 将告警日志可视化为 4 面板 PNG 仪表盘 | | test_engine.py | 验证每一条检测规则是否正确触发的单元测试 | ## 检测规则 | 规则 | 严重程度 | 捕获内容 | |------|----------|------------------| | 暴力破解 | 高 | 在特定时间窗口内，来自同一来源的 N 次登录失败 | | 暴力破解后登录 | 严重 | 在短时间内连续失败后立即成功登录 —— 典型的凭据窃取模式 | | 权限提升 | 中 | 为账户分配了管理员/特殊权限 | | 账户变更 | 中 | 创建新用户账户或修改现有账户 | | 横向移动 | 高 | 同一账户在短时间窗口内向多个不同的主机/IP 进行身份验证 | | 非工作时间登录 | 低 | 在配置的工作时间之外成功登录 | ## 如何运行 ``` pip install matplotlib python test_engine.py python generate_demo_logs.py python analyze_logs.py --windows sample_security_log.csv --linux sample_auth.log python dashboard.py ```

标签：PE 加载器, Python, 事件关联, 安全可视化, 安全运营, 扫描框架, 无后门, 红队行动, 逆向工具