这也是我系列反黑工具箱中的一款工具：可疑攻击行为日志检测工具，主要是从海量日志中利用Waf规则检测出可疑攻击行为，从而缩短排查时间、缩小排查范围，成为我们的有力武器。目前，工具支持的日志主要有：“IIS、Apache/Nginx、Tomcat/Weblogic”等几种主流日志。

    程序完成于2018年，版本升级到2.6，现在没有进行更新了，主要的核心部分waf检测规则无更新，也没有对更多的日志进行检测了。工具的效果还行，后期还是要手工来干预的，排查出真正的攻击行为。现放出来，希望能给你的工作带来一些帮助。

界面如下：

布局比较简单，上下两栏式。上栏是功能区，下栏为展示区；上栏左边为导入的日志或日志目录（批量）以及日志类型，中部为检测时的参数“去除不相干的图片、swf、css等装饰性文件”、选择检测“成功200 或 除成功200以外的所有”；右边为“检测规则，分为了：紧凑型和宽泛型”，宽泛型检测得更多，将更多的可能性包含了进来，有大量时间时可采用这种方式，当然事后的筛选工作量将会大得多。

使用很简单，直接导入日志就行，

在下方的显示区，显示有命中数量，这个命中后还需人工干预确认下是否有可疑攻击行为，存在着误伤。

除单个检测外，还可以整个目录的批量日志检测：

检测的结果可以导入到展示区中，可以写入xls文件中，当然在当前目录下也会生成1.log这个可疑日志集合文件。

下载地址：

链接：https://pan.baidu.com/s/1pqoIWKTWDRtECbQBh1aGpQ

提取码：u8k5

    如果您想深入开发，做成商业软件，请联系我，出售源代码。