Deviltamang/security-log-monitor-wazuh

# 安全日志监控器 + Wazuh 集成 本项目支持**两种数据源**： 1. **静态 CSV 上传** —— 直接上传身份验证日志并运行本地入侵检测规则。 2. **Wazuh API 集成** —— 使用只读 Wazuh Indexer API 账户从 `wazuh-alerts-*` 中拉取最新的实时警报。 ## 在 Windows 上运行 ``` py -m venv .venv .\.venv\Scripts\Activate.ps1 pip install -r requirements.txt uvicorn app.main:app --reload --host 127.0.0.1 --port 8001 ``` 打开 `http://127.0.0.1:8001`。 ## CSV 模式 这可以立即使用。选择 **CSV 入侵检测**，然后点击 **加载 CSV 演示** 或上传一个 CSV 文件。所需的列： `timestamp,username,source_ip,event_type,status,message` ## Wazuh 模式 1. 从 Wazuh Cloud 或您的 Wazuh 管理员处获取**只读 Indexer API URL、用户名和密码**。 2. 复制 `.env.example` 并将副本重命名为 `.env`。 3. 填入真实的凭据。 4. 重启 Uvicorn。 5. 选择 **Wazuh 实时警报** 并点击 **刷新 Wazuh 警报**。 不要将 `.env` 添加到 GitHub。 ## 项目架构 Windows 终端节点 → Wazuh Agent → Wazuh Cloud → Wazuh Indexer API → FastAPI 后端 → 仪表板 CSV 身份验证日志 → FastAPI 检测规则 → SQLite → 仪表板

标签：AV绕过, FastAPI, PB级数据处理, Wazuh, 安全仪表盘, 安全运维, 逆向工具