Releases: 3sNwgeek/CheckMultiLog
Releases · 3sNwgeek/CheckMultiLog
Release list
2026.1.13 - 更新linux日志分析功能
2026.1.13 - 更新
-
新增linux日志分析功能-免费使用 。
-
功能特性
-
核心功能
-
🔍 多类型日志分析:支持系统日志、安全日志、Web日志、邮件日志等多种类型
-
🚀 高效检测:采用并行处理和批量命令执行,提高检测速度
-
📊 直观报告:生成美观的 HTML 报告,包含统计卡片、时间线分析、攻击流程可视化
-
🎯 ATT&CK 框架支持:基于 MITRE ATT&CK 框架生成攻击流程分析报告
-
📝 自定义规则:支持 JSON 格式自定义检测规则
-
🔐 安全连接:使用 SSH 协议安全连接目标服务器
-
检测能力
-
暴力破解检测
-
可疑 IP 识别
-
登录失败/成功统计
-
系统错误分析
-
Web 攻击检测(SQL注入、XSS、Webshell等)
-
异常进程检测
-
系统服务异常检测
-
网络连接异常检测
支持的自动收集日志类型
- 系统日志:/var/log/syslog, /var/log/messages
- 安全日志:/var/log/auth.log, /var/log/secure
- Web 日志:Apache、Nginx 访问日志和错误日志
- 邮件日志:Postfix、Sendmail 日志
- 防火墙日志:iptables、firewalld 日志
- SSH 日志:SSH 服务日志
- 应用日志:MySQL、Redis 等应用日志
分析模式
logs 模式
- 仅分析系统日志文件
- 检测速度快,资源消耗少
- 适合快速初步分析
full 模式
- 全面检查系统,包括:
- 日志文件分析
- 系统进程检测
- 网络连接检测
- 系统服务检测
- 异常文件检测
- 安全配置检查
- 检测全面,资源消耗较大
- 适合深入分析和应急响应
自定义规则
规则文件格式(JSON)
{
"rules": [
{
"id": "rule_001",
"name": "暴力破解检测",
"description": "检测连续失败的登录尝试",
"pattern": "Failed password",
"severity": "critical",
"log_type": "auth",
"threshold": 5,
"time_window": 3600
},
{
"id": "rule_002",
"name": "Webshell 检测",
"description": "检测可疑的 Web 请求",
"pattern": "cmd=|exec|system|passthru|eval",
"severity": "critical",
"log_type": "web_access",
"threshold": 1,
"time_window": 3600
}
]
}规则字段说明
- id:规则唯一标识符
- name:规则名称
- description:规则描述
- pattern:检测正则表达式
- severity:严重程度(critical、warning、normal)
- log_type:适用的日志类型
- threshold:阈值
- time_window:时间窗口(秒)
ATT&CK 攻击流程分析
功能说明
- 基于 MITRE ATT&CK 框架生成攻击流程分析报告
- 支持战术和技术的关联分析
- 生成可视化的攻击路径
- 支持 HTML 和 JSON 两种输出格式
支持的 ATT&CK 战术
- 侦察
- 资源开发
- 初始访问
- 执行
- 持久化
- 权限提升
- 防御规避
- 凭证访问
- 发现
- 横向移动
- 收集
- 命令与控制
- 数据渗漏
- 影响
报告内容
- 分析摘要:总览检测结果
- ATT&CK 攻击流程分析:基于 ATT&CK 框架的攻击流程可视化
- 日志分析详细结果:按日志类型分类显示检测结果
- 系统检查结果:仅在 full 模式下显示