1tsprune/wazgen

GitHub: 1tsprune/wazgen

一款纯前端的 Wazuh 规则生成器,通过粘贴日志自动生成 XML 规则、decoder 及 MITRE ATT&CK 映射,解决手写检测规则门槛高、效率低的问题。

Stars: 0 | Forks: 0

![WAZGEN](https://img.shields.io/badge/WAZGEN-v2.0-34d399?style=for-the-badge&logo=wazuh&logoColor=white)
**Wazuh 规则生成器** — 粘贴任意日志,立即获取 Wazuh XML 规则和 decoder。 ![HTML5](https://img.shields.io/badge/HTML5-E34F26?style=flat-square&logo=html5&logoColor=white) ![CSS3](https://img.shields.io/badge/CSS3-1572B6?style=flat-square&logo=css3&logoColor=white) ![JavaScript](https://img.shields.io/badge/JavaScript-F7DF1E?style=flat-square&logo=javascript&logoColor=black) ![Wazuh](https://img.shields.io/badge/Wazuh-34d399?style=flat-square&logo=wazuh&logoColor=white) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-EB0028?style=flat-square&logo=mitre&logoColor=white)
``` __ __ ______ _____ ______ _ __ / /____ / /__ / ____/___ / __ |/ __ \ \ | / / / __/ _ / _ \/ / __/ __ \/ /_/ / / /_/ / |/ / / /_/ __/ __/ /_/ / /_/ / __,_/ \__, / /| / \__/\___/\___/\____/\____/_/ /____/_/ |_/ ```
**粘贴任意日志 → 自动生成 Wazuh XML 规则 + decoder + MITRE ATT&CK 映射。** 支持 100 多种日志模式,针对未知日志的智能解析器,批量处理,规则历史记录,支持暗黑/明亮模式。 🇮🇩 *Tempel log sampel → dapatkan rule Wazuh XML + decoder + MITRE ATT&CK secara otomatis. Mendukung 100+ pola log, smart parser untuk log yang tidak dikenal, proses batch, riwayat rule, mode gelap/terang.*
## ✨ 功能 | 功能 | 描述 | |---|---| | **规则生成器** | 粘贴任意日志样本,获取 Wazuh XML 规则 + decoder + ossec.conf | | **智能解析器** | 自动检测日志格式(syslog、JSON、key=value、Windows Event、HTTP) | | **100+ 模式** | 内置涵盖 13 个类别的常见日志数据库 | | **批量处理** | 上传多行日志文件,一次生成多个规则 | | **MITRE ATT&CK** | 20+ 项技术标签,可根据规则进行选择 | | **规则验证** | 在部署前检查 XML 语法 | | **规则编辑器** | 直接在浏览器中编辑生成的 XML | | **规则历史** | 自动将最后 50 条规则保存到 localStorage | | **暗黑/明亮模式** | 主题切换,支持系统偏好持久化 | | **安装脚本** | 可直接用于 Wazuh server 和 agent 安装的现成脚本 | ## 🗄️ 数据库覆盖范围 | 类别 | 数量 | 示例 | |---|---|---| | 身份验证 | 13 | SSH、Sudo、PAM、FTP、RADIUS、LDAP、Vault | | 防火墙 | 10 | IPTables、nftables、Firewalld、**FortiGate**、**Cisco ASA**、**Palo Alto**、**pfSense**、**Sophos** | | Web | 12 | Squid、Apache、Nginx、HAProxy、IIS、Tomcat、Caddy、**Cloudflare** | | 云 | 7 | AWS CloudTrail、**Azure AD**、**Azure NSG**、**GCP Audit** | | Windows | 15 | 4624/4625/4688/7045/4732/4698/4104、Sysmon、Defender、AppLocker | | IDS/IPS | 5 | Suricata、Snort、OSSEC、Wazuh Agent | | 数据库 | 6 | MySQL、PostgreSQL、**MSSQL**、**MongoDB**、**Redis**、**Elasticsearch** | | 网络 | 6 | Zeek、DNS、DHCP、**OpenVPN**、**WireGuard** | | 电子邮件 | 5 | Postfix、**Dovecot**、**SpamAssassin**、**MS Exchange**、MailScanner | | 容器 | 3 | Docker、Kubernetes exec、K8s ConfigMap | | 恶意软件 | 1 | WebShell 检测 | | 其他 | 5 | Cron、SELinux、MISP、fail2ban、CrowdSec | ## 🚀 快速开始 只需在任何现代浏览器中打开 [`index.html`](index.html)。无需服务器。 ``` git clone https://github.com/1tsprune/wazgen.git cd wazgen open index.html ``` ### 使用说明 1. **粘贴**日志样本或点击快速示例按钮 2. 调整 **Rule ID** 和 **Level**(自动或手动) 3. 选择 **MITRE ATT&CK** 技术(可选,支持多选) 4. 点击 **Generate** — 立即获取规则 XML、Decoder XML、ossec.conf 和测试命令 5. **复制**或**下载**输出内容 6. 部署到 Wazuh:`sudo cp local_rules.xml /var/ossec/etc/rules/ && sudo systemctl restart wazuh-manager` ### 智能解析器 对于数据库中未知的日志,WAZGEN 的智能解析器会自动执行以下操作: - 检测日志格式(JSON、syslog、key=value、Windows Event、HTTP 访问) - 提取 IP 地址、用户名、端口和 URL - 识别严重程度关键词(ERROR、FAIL、WARN) - 生成带有 regex 模式的相应 decoder 和规则 - 在元数据卡片中显示“Smart Parser”作为来源 ### 批量处理 上传包含多行日志的 `.log` 或 `.txt` 文件: - 逐行分析每一行 - 使用自动递增的 ID 生成规则 - 将所有规则合并为单个输出 - 每批最多处理 200 行 ## 🛠️ 技术栈 | 技术 | 用途 | |---|---| | **HTML5** | 结构 | | **CSS3** | 样式设计,使用 CSS 自定义属性(暗黑/明亮模式) | | **JavaScript** | 所有逻辑,无框架或依赖 | | **[Tabler Icons](https://tabler-icons.io)** | UI 图标 | | **[Inter](https://rsms.me/inter/) / [JetBrains Mono](https://www.jetbrains.com/lp/mono/)** | 字体排版 | | **localStorage** | 主题持久化和规则历史记录 | | **FileReader API** | 日志文件上传和批量处理 | | **Clipboard API** | 一键复制到剪贴板 | ## 📁 项目结构 ``` wazgen/ ├── index.html # Main HTML (structure only) ├── css/ │ └── style.css # All styling + dark/light variables └── js/ └── app.js # All logic + 100+ log pattern database ``` ## 🌐 浏览器支持 | 浏览器 | 支持 | |---|---| | Chrome 60+ | ✅ | | Firefox 55+ | ✅ | | Safari 12+ | ✅ | | Edge 79+ | ✅ | | Opera 47+ | ✅ | | 移动端 (iOS/Android) | ✅ 响应式,带汉堡菜单 | ## 📜 许可证 本项目是开源的。欢迎自由使用、修改和分发。
**由 [1tsprune](https://1tsprune.com) 用 ❤️ 构建** *安全工程师与渗透测试员 — 印度尼西亚* [![GitHub](https://img.shields.io/badge/GitHub-1tsprune-181717?style=flat-square&logo=github)](https://github.com/1tsprune) [![LinkedIn](https://img.shields.io/badge/LinkedIn-Eky_Januarta-0A66C2?style=flat-square&logo=linkedin)](https://linkedin.com/in/eky-januarta-aaa3a61aa)
标签:Cloudflare, MITRE ATT&CK, Wazuh, 云计算, 安全运营, 扫描框架, 数据可视化, 自定义脚本, 规则引擎