Abdeygodin/wazuh-decoder-workbench

GitHub: Abdeygodin/wazuh-decoder-workbench

一个零依赖的单文件 Web 工具,帮助安全工程师通过粘贴日志快速生成 Wazuh SIEM 的自定义解码器和规则并即时验证匹配效果。

Stars: 0 | Forks: 0

# Wazuh Decoder Workbench image **在线演示: ** 一个单文件、零依赖的 Web 工具,专为为 [Wazuh SIEM](https://wazuh.com/) 编写自定义 **decoders** 和 **rules** 的安全工程师打造。 粘贴一条原始日志行 —— 即可获得可直接使用的 `decoder.xml`、`rules.xml` 以及即时的 `wazuh-logtest` 风格检查,所有操作全在您的浏览器中完成。数据不会发送到任何地方:整个工具就是一个静态 HTML 文件。 ## 功能 - **自动格式检测** — syslog RFC 3164 / RFC 5424 头、JSON、key=value(FortiGate 风格)、CEF 和纯位置文本。 - **Token 识别** — IP、端口、用户(通过上下文识别:`user`、`from`、`port`…)、电子邮件、URL、MD5/SHA1/SHA256 哈希值、UUID、MAC 地址、时间戳。每个 token 都会获得一个建议的标准 Wazuh 字段名(`srcip`、`dstuser`、`srcport` 等)。 - **完全可编辑的映射** — 开启/关闭字段并对其进行重命名;XML 会实时重新生成。 - **两种 regex 方言**: - 经典的 **OS_Regex**(适用于所有 Wazuh 版本,并考虑了其特性 —— 例如,对于带引号的值使用限制更严格的 `\w+`,而不是贪婪的 `\.+`); - **PCRE2**(`type="pcre2"`,Wazuh 4.2+),用于更精确的匹配模式。 - **合理的 decoder 结构**: - syslog 日志具有 `program_name` 父 decoder + 一个字段子 decoder; - key=value 日志为*每个字段设置一个子 decoder*,这样即使供应商重新排列字段,decoder 也不会失效; - JSON 日志使用内置的 `JSON_Decoder` 插件而不是 regex。 - **rules.xml 脚手架** — 一个基础的 `decoded_as` 规则,外加一个示例精炼规则,其中包含取自您实际日志的 `` 条件。 - **内置 logtest 模拟器** — 每一条粘贴的日志行都会通过生成的 decoders 进行测试:提取的字段、匹配的规则 ID 和级别、告警判定结果。 - **部署备忘单** — 文件路径、自定义规则 ID 范围(100000–120000)、`wazuh-logtest`、重启命令。 ## 用法 打开[在线演示](https://abdeygodin.github.io/wazuh-decoder-workbench/)或直接在任何现代浏览器中打开 `index.html`。就这么简单。 1. 粘贴一行或多行日志(第一行定义模板;每一行都会经过测试)。 2. 点击 **Analyze**。 3. 调整字段映射和生成设置。 4. 将 `decoder.xml` 复制到您的 manager 上的 `/var/ossec/etc/decoders/local_decoder.xml`,并将 `rules.xml` 复制到 `/var/ossec/etc/rules/local_rules.xml`。 5. 使用 `/var/ossec/bin/wazuh-logtest` 进行验证,然后执行 `systemctl restart wazuh-manager`。 ## 内置示例 - sshd(syslog,密码验证失败) - FortiGate 流量日志(key=value) - JSON 应用程序日志 - CEF(Trend Micro Deep Security) - 自定义应用程序日志(位置文本)
标签:PB级数据处理, Wazuh, Web工具, 云计算, 后端开发, 多模态安全, 安全工程, 安全运维, 数据可视化, 日志解析, 规则引擎, 证书伪造