网络安全日志分析平台，提供实时威胁检测、行为异常分析和安全可视化功能

工具介绍

专业的 Web 访问日志分析与取证系统

LogSentinel 是一个全栈的网络安全日志分析平台，提供实时威胁检测、行为异常分析和安全可视化功能。专为安全分析师（SOC）设计，采用深色主题界面，支持高密度信息展示。

✨ 核心特性

🔍 威胁检测引擎（基于签名）

• OWASP Top 10 检测：SQL 注入、XSS、RCE、路径遍历、文件包含等
• 工具指纹识别：识别 Sqlmap、Nmap、Nikto、Acunetix 等扫描器
• Webshell 流量检测：检测针对 .jsp/.php/.asp 的可疑请求
• 30+ 攻击检测规则：覆盖常见 Web 攻击模式

📊 行为异常分析（启发式/统计）

• 暴力破解检测：高频 POST 请求到登录端点 + 高失败率（401/403）
• 扫描器检测：短时间内产生大量 404 错误的 IP
• 数据泄露检测：响应体大小显著异常
• 敏感路径访问：访问 /admin、/config、.env 等敏感路径
• 罕见 IP 检测：从未见过的 IP 访问敏感路径

📈 安全可视化仪表盘

• 威胁时间线：流量趋势图表，标注攻击峰值
• 统计面板：Top 10 攻击者、Top 10 受害 URL、状态码分布
• 实时监控：自动刷新，实时更新安全态势
• 高对比度图表：优化的颜色配置，清晰展示攻击流量

🔎 告警研判与取证

• 告警列表：支持筛选、分页、排序（按严重程度/时间）
• 详情抽屉：攻击载荷高亮显示
• 解码工具：自动解码 URL 编码和 Base64 编码
• 原始日志查看：查看完整的原始日志信息

🔬 日志浏览器

• 多条件筛选：状态码、HTTP 方法、IP、URL、时间范围
• 全文搜索：在 URL、User-Agent、Raw Log 中搜索
• 动态 Facets：显示 Top IP 和 Top URL，点击即可筛选
• URL 参数管理：所有筛选条件通过 URL 参数保存，支持分享链接

🚀 高性能处理

• 支持大文件：最大支持 1GB 日志文件
• 流式处理：分批解析和处理，避免内存溢出
• 实时进度：显示文件处理进度和日志处理进度
• 会话隔离：每个浏览器会话独立的数据空间

🔒 安全特性

攻击检测规则

SQL 注入（10+ 规则）

• UNION SELECT 注入
• 布尔盲注
• 时间盲注
• 堆叠查询
• 报错注入
• 宽字节注入
• 文件操作（INTO OUTFILE）

XSS（15+ 规则）

• Script 标签注入
• 事件处理器（onerror, onclick, onload 等）
• JavaScript 协议
• DOM XSS 特征
• 编码绕过（URL 编码、Unicode 编码）

RCE（10+ 规则）

• 系统命令执行（system, exec, shell_exec）
• 反引号命令执行
• eval/assert 代码执行
• 文件包含（include, require）
• 模板注入
• 表达式注入

其他攻击类型

• 路径遍历（../, ..\）
• Webshell 特征
• 扫描器指纹（Sqlmap, Nmap, Nikto, Acunetix 等）
• SSRF、XXE、JWT 攻击等

异常检测

• 扫描器检测：短时间内大量 404 错误
• 高频请求：RPM 超过阈值
• 敏感路径访问：访问管理后台、配置文件等
• 暴力破解：高频 POST + 高失败率
• 数据泄露：响应体大小异常
• 罕见 IP：从未见过的 IP 访问敏感路径

工具获取

https://github.com/si1ence90/LogSentinel

文章来源：夜组安全