0zB0/Security-Log-Analyzer
GitHub: 0zB0/Security-Log-Analyzer
TraceHawk 是一款本地优先的 SOC 日志调查工具,通过确定性规则和多源关联将异构安全日志转化为带证据的评分事件并导出分析报告。
Stars: 0 | Forks: 0
# TraceHawk
[](https://github.com/0zB0/Security-Log-Analyzer/actions/workflows/ci.yml)
[](https://github.com/0zB0/Security-Log-Analyzer/releases)
[](apps/api/pyproject.toml)
[](LICENSE)
证据优先的 SOC 调查工具,适用于本地日志和多源 Zeek/Suricata 案例。TraceHawk
解析异构安全日志,运行 65 条透明的 YAML 规则,将发现结果关联为评分
事件,保留行级证据,映射 MITRE ATT&CK 上下文,并导出分析报告。
检测保持确定性;可选的本地 Ollama 层可以解释发现,但绝不创建或
更改结果。
[受保护的在线演示](https://ca-security-log-analyzer.bluebush-2bdd630a.germanywestcentral.azurecontainerapps.io/) ·
[作品集](https://ozbejbohanec.com) ·
[威胁模型](docs/threat-model.md) ·
[局限性](docs/limitations.md)

## 演示证明的内容
| 能力 | 公开证据 |
| --- | --- |
| 摄取 | Linux auth、web、syslog、JSON、CSV、CloudTrail、Kubernetes audit、Windows Security、Zeek、Suricata、Docker 以及已批准的接口元数据 |
| 解析器路由 | 分层置信度排名,加上带有解析器来源的逐行混合日志路由 |
| 检测 | 65 条 YAML 规则、2–8 步类型化序列、MITRE 映射、证据哈希和良性对照 |
| 关联 | 实体、时间、序列、规则家族和独立来源评分,附带可见的 rationale |
| 验证 | 经过净化处理的场景,以及 IoT-23 的精确率、召回率、假阳性和假阴性说明 |
| 资源安全 | 受限的请求、文件、行数、文件数、总 bundle、速率和性能预算 |
| 访问控制 | 显式的本地/部署信任模式、viewer/analyst/admin RBAC、WebSocket 网关和审计跟踪 |
| 报告 | Markdown、HTML 和 PDF,包含评分 rationale、证据、哈希、可选的脱敏处理,且无云依赖 |
## 30 秒产品导览
### 1. 加载受限样本或上传

### 2. 检查关联事件和原始证据

### 3. 导出分析报告

打开已提交的证明报告:
- [示例事件 HTML](docs/assets/reports/tracehawk-sample-incident.html)
- [示例事件 PDF](docs/assets/reports/tracehawk-sample-incident.pdf)
- [多源事件案例研究](docs/case-study-real-lab.md)
## 2 分钟内运行此项目
要求:带有 Compose v2 的 Docker Engine。
```
git clone https://github.com/0zB0/Security-Log-Analyzer.git
cd Security-Log-Analyzer
docker compose --profile production up --build
```
打开 `http://localhost:8000`,点击 **Real lab case**,然后打开 **Incidents**、**Evidence** 或
**Reports**。本地 Docker 模式在没有外部身份验证且没有云 LLM 的情况下运行。
停止容器但保留命名的 SQLite 卷:
```
docker compose --profile production down
```
## 架构
```
flowchart LR
S["Uploads, samples, files, Docker, Zeek, Suricata"] --> B["Request and resource boundaries"]
B --> P["Confidence-ranked parser registry"]
P --> D["65 deterministic YAML rules"]
D --> C["N-step and cross-source correlation"]
C --> I["Scored incidents and entities"]
I --> DB["SQLite evidence and audit state"]
I --> R["Markdown, HTML, PDF reports"]
I -. bounded evidence .-> L["Optional local Ollama explanation"]
DB --> O["Readiness, metrics, backup and restore"]
```
活动技术栈:
- `apps/api`:FastAPI、SQLAlchemy、确定性解析、检测、关联和报告;
- `apps/web`:React、TypeScript 和 Vite 调查工作区;
- `packages/rules`:版本化的 YAML 检测内容;
- `packages/sample-data` 和 `packages/test-scenarios`:经过净化处理的、可重现的证据;
- `tools`:公共质量、性能、冒烟测试和恢复验证门禁。
详细设计:[架构](docs/architecture.md) 和
[本地 SOC 助手蓝图](local-soc-assistant-architecture.md)。
## 本地开发和验证
```
python3 -m venv .venv
.venv/bin/python -m pip install --upgrade pip==26.1.2
.venv/bin/python -m pip install -e 'apps/api[dev]'
npm --prefix apps/web ci
make verify-all
```
公共门禁涵盖后端测试、端到端规则场景、所有 65 条规则合约、
性能预算、Web 构建、Docker Compose 验证、实时分析、本地 AI 回退、
报告生成和 UI 冒烟测试。GitHub Actions 额外运行 Gitleaks、Semgrep、依赖
审计和 Docker 构建。
有用的命令:
```
make api-dev
make web-dev
make benchmark
make detection-quality-check
make security-scan
```
## 安全和范围
TraceHawk 是一个单副本、本地优先的作品集系统,而不是多租户 SIEM。请勿上传
生产日志、凭据、客户数据、内部拓扑或机密证据。在线托管
演示受保护;本地模式适用于经过净化处理的评估数据。
部署或评估前请阅读:
- [安全控制](docs/security.md)
- [威胁模型](docs/threat-model.md)
- [身份验证和 RBAC 矩阵](docs/auth-rbac.md)
- [操作边界](docs/operations.md)
- [检测质量和 IoT-23 错误分析](docs/detection-quality.md)
- [性能方法和预算](docs/performance.md)
## 公共仓库边界
本仓库是一个精心策划的公开发布版本,包含可运行的产品、测试、经过净化处理的
测试夹具、公开证据和发布资产。私有部署配置、内部 CI/CD、
历史运营记录和非公开的基础设施细节均被有意省略。
`PUBLIC_EXPORT.json` 记录了已发布版本的允许导出清单凭证。
## 许可证
[MIT](LICENSE)。检测规则和经过净化处理的演示工件均包含在相同的仓库
许可证下,除非数据集说明指出了外部来源及其自身的条款。
标签:AI风险缓解, AMSI绕过, Python, 威胁检测, 安全运营, 扫描框架, 无后门, 请求拦截, 逆向工具