1tsprune/wazgen
GitHub: 1tsprune/wazgen
一款纯前端的 Wazuh 规则生成器,通过粘贴日志自动生成 XML 规则、decoder 及 MITRE ATT&CK 映射,解决手写检测规则门槛高、效率低的问题。
Stars: 0 | Forks: 0

**Wazuh 规则生成器** — 粘贴任意日志,立即获取 Wazuh XML 规则和 decoder。     
``` __ __ ______ _____ ______ _ __ / /____ / /__ / ____/___ / __ |/ __ \ \ | / / / __/ _ / _ \/ / __/ __ \/ /_/ / / /_/ / |/ / / /_/ __/ __/ /_/ / /_/ / __,_/ \__, / /| / \__/\___/\___/\____/\____/_/ /____/_/ |_/ ```
**粘贴任意日志 → 自动生成 Wazuh XML 规则 + decoder + MITRE ATT&CK 映射。** 支持 100 多种日志模式,针对未知日志的智能解析器,批量处理,规则历史记录,支持暗黑/明亮模式。 🇮🇩 *Tempel log sampel → dapatkan rule Wazuh XML + decoder + MITRE ATT&CK secara otomatis. Mendukung 100+ pola log, smart parser untuk log yang tidak dikenal, proses batch, riwayat rule, mode gelap/terang.*
## ✨ 功能
| 功能 | 描述 |
|---|---|
| **规则生成器** | 粘贴任意日志样本,获取 Wazuh XML 规则 + decoder + ossec.conf |
| **智能解析器** | 自动检测日志格式(syslog、JSON、key=value、Windows Event、HTTP) |
| **100+ 模式** | 内置涵盖 13 个类别的常见日志数据库 |
| **批量处理** | 上传多行日志文件,一次生成多个规则 |
| **MITRE ATT&CK** | 20+ 项技术标签,可根据规则进行选择 |
| **规则验证** | 在部署前检查 XML 语法 |
| **规则编辑器** | 直接在浏览器中编辑生成的 XML |
| **规则历史** | 自动将最后 50 条规则保存到 localStorage |
| **暗黑/明亮模式** | 主题切换,支持系统偏好持久化 |
| **安装脚本** | 可直接用于 Wazuh server 和 agent 安装的现成脚本 |
## 🗄️ 数据库覆盖范围
| 类别 | 数量 | 示例 |
|---|---|---|
| 身份验证 | 13 | SSH、Sudo、PAM、FTP、RADIUS、LDAP、Vault |
| 防火墙 | 10 | IPTables、nftables、Firewalld、**FortiGate**、**Cisco ASA**、**Palo Alto**、**pfSense**、**Sophos** |
| Web | 12 | Squid、Apache、Nginx、HAProxy、IIS、Tomcat、Caddy、**Cloudflare** |
| 云 | 7 | AWS CloudTrail、**Azure AD**、**Azure NSG**、**GCP Audit** |
| Windows | 15 | 4624/4625/4688/7045/4732/4698/4104、Sysmon、Defender、AppLocker |
| IDS/IPS | 5 | Suricata、Snort、OSSEC、Wazuh Agent |
| 数据库 | 6 | MySQL、PostgreSQL、**MSSQL**、**MongoDB**、**Redis**、**Elasticsearch** |
| 网络 | 6 | Zeek、DNS、DHCP、**OpenVPN**、**WireGuard** |
| 电子邮件 | 5 | Postfix、**Dovecot**、**SpamAssassin**、**MS Exchange**、MailScanner |
| 容器 | 3 | Docker、Kubernetes exec、K8s ConfigMap |
| 恶意软件 | 1 | WebShell 检测 |
| 其他 | 5 | Cron、SELinux、MISP、fail2ban、CrowdSec |
## 🚀 快速开始
只需在任何现代浏览器中打开 [`index.html`](index.html)。无需服务器。
```
git clone https://github.com/1tsprune/wazgen.git
cd wazgen
open index.html
```
### 使用说明
1. **粘贴**日志样本或点击快速示例按钮
2. 调整 **Rule ID** 和 **Level**(自动或手动)
3. 选择 **MITRE ATT&CK** 技术(可选,支持多选)
4. 点击 **Generate** — 立即获取规则 XML、Decoder XML、ossec.conf 和测试命令
5. **复制**或**下载**输出内容
6. 部署到 Wazuh:`sudo cp local_rules.xml /var/ossec/etc/rules/ && sudo systemctl restart wazuh-manager`
### 智能解析器
对于数据库中未知的日志,WAZGEN 的智能解析器会自动执行以下操作:
- 检测日志格式(JSON、syslog、key=value、Windows Event、HTTP 访问)
- 提取 IP 地址、用户名、端口和 URL
- 识别严重程度关键词(ERROR、FAIL、WARN)
- 生成带有 regex 模式的相应 decoder 和规则
- 在元数据卡片中显示“Smart Parser”作为来源
### 批量处理
上传包含多行日志的 `.log` 或 `.txt` 文件:
- 逐行分析每一行
- 使用自动递增的 ID 生成规则
- 将所有规则合并为单个输出
- 每批最多处理 200 行
## 🛠️ 技术栈
| 技术 | 用途 |
|---|---|
| **HTML5** | 结构 |
| **CSS3** | 样式设计,使用 CSS 自定义属性(暗黑/明亮模式) |
| **JavaScript** | 所有逻辑,无框架或依赖 |
| **[Tabler Icons](https://tabler-icons.io)** | UI 图标 |
| **[Inter](https://rsms.me/inter/) / [JetBrains Mono](https://www.jetbrains.com/lp/mono/)** | 字体排版 |
| **localStorage** | 主题持久化和规则历史记录 |
| **FileReader API** | 日志文件上传和批量处理 |
| **Clipboard API** | 一键复制到剪贴板 |
## 📁 项目结构
```
wazgen/
├── index.html # Main HTML (structure only)
├── css/
│ └── style.css # All styling + dark/light variables
└── js/
└── app.js # All logic + 100+ log pattern database
```
## 🌐 浏览器支持
| 浏览器 | 支持 |
|---|---|
| Chrome 60+ | ✅ |
| Firefox 55+ | ✅ |
| Safari 12+ | ✅ |
| Edge 79+ | ✅ |
| Opera 47+ | ✅ |
| 移动端 (iOS/Android) | ✅ 响应式,带汉堡菜单 |
## 📜 许可证
本项目是开源的。欢迎自由使用、修改和分发。
**Wazuh 规则生成器** — 粘贴任意日志,立即获取 Wazuh XML 规则和 decoder。     
``` __ __ ______ _____ ______ _ __ / /____ / /__ / ____/___ / __ |/ __ \ \ | / / / __/ _ / _ \/ / __/ __ \/ /_/ / / /_/ / |/ / / /_/ __/ __/ /_/ / /_/ / __,_/ \__, / /| / \__/\___/\___/\____/\____/_/ /____/_/ |_/ ```
**粘贴任意日志 → 自动生成 Wazuh XML 规则 + decoder + MITRE ATT&CK 映射。** 支持 100 多种日志模式,针对未知日志的智能解析器,批量处理,规则历史记录,支持暗黑/明亮模式。 🇮🇩 *Tempel log sampel → dapatkan rule Wazuh XML + decoder + MITRE ATT&CK secara otomatis. Mendukung 100+ pola log, smart parser untuk log yang tidak dikenal, proses batch, riwayat rule, mode gelap/terang.*
**由 [1tsprune](https://1tsprune.com) 用 ❤️ 构建**
*安全工程师与渗透测试员 — 印度尼西亚*
[](https://github.com/1tsprune)
[](https://linkedin.com/in/eky-januarta-aaa3a61aa)
标签:Cloudflare, MITRE ATT&CK, Wazuh, 云计算, 安全运营, 扫描框架, 数据可视化, 自定义脚本, 规则引擎