文章总结： LogSentinel是面向SOC的Web日志取证系统，利用双引擎检测SQL注入及扫描器等威胁。支持GB级日志流式处理与深色可视化，集成Python与Next.js。具备高密度仪表盘与类Kibana浏览器，提供Docker部署，助力安全团队高效完成威胁检测与行为分析。 综合评分： 75 文章分类： 产品介绍,安全工具,解决方案,安全运营,WEB安全

一款为 SOC 量身定制的 Web 访问日志实时取证系统

菜狗

只会看监控的实习生

2026年1月5日 09:00 广东

点个关注撒～

🔍 LogSentinel | 一款为 SOC 量身定制的 Web 访问日志实时取证系统

深色主题 + 高密度信息 + 一键上传 = 30 分钟内完成「威胁检测 + 行为异常 + 可视化」全流程，单机也能跑 GB 级日志！

1️⃣ 一句话速览

• 全栈开源：Python 分析引擎 + Next.js 仪表盘，前后端分离，Docker 一条命令拉起
• 双引擎检测：
• 签名检测：30+ 规则覆盖 OWASP Top10、扫描器指纹、Webshell
• 异常检测：暴力破解、扫描器、数据泄露、罕见 IP 等 6 大场景
• GB 级日志：流式处理，1 GB 文件不爆内存；支持 Nginx/Apache 通用格式
• 实时推送：分析完立即回传前端，进度条可追踪；支持会话隔离，多人同时看各自数据
• 深色主题：专为夜班 SOC 优化，图表高对比，一眼锁定攻击峰

2️⃣ 核心能力速查表

| 场景 | 传统方式 | LogSentinel 做法 | | — | — | — | | SQL 注入 | grep ‘union’ | 10+ 条正则+向量化匹配，自动标注 UNION/盲注/报错/宽字节 | | XSS | 人工读参数 | 15+ 规则覆盖 script、事件处理器、DOM 特征、编码绕过 | | 扫描器 | 看 404 数 | 404 斜率+UA 指纹双指标，秒级标红 Sqlmap/Nmap/Nikto | | 暴力破解 | 写脚本统计 | 高频 POST + 401/403 比例，自动阈值 | | 数据泄露 | 靠感觉 | 响应体大小突增→自动告警 | | 罕见 IP | 手工比对 | 首次出现即访问 /admin/.env 直接置顶 | | 大文件 | 切分+awk | 流式分批，进度实时刷新，1 GB 单文件无压力 |

3️⃣ 双引擎检测规则（签名+异常）

🔍 签名检测（30+ 规则）

SQL 注入
├── UNION SELECT / 布尔盲注 / 时间盲注 / 堆叠查询
├── 报错注入 / 宽字节注入 / INTO OUTFILE
XSS
├── Script 标签 / 事件处理器 / JS 协议 / DOM XSS
└── URL/Unicode 编码绕过
RCE
├── system|exec|shell_exec / 反引号 / eval|assert
├── 文件包含 / 模板注入 / SpEL 表达式
路径遍历
├── ../ / ..%2f / %2e%2e%2f
Webshell
├── jsp|php|asp 关键字+特征
扫描器指纹
├── Sqlmap/Nmap/Nikto/Acunetix UA & 路径
SSRF / XXE / JWT 攻击
├── 对应关键字&Header 特征

📊 异常检测（6 大场景）

• 扫描器：短时间大量 404，斜率阈值可调
• 高频请求：RPM 超过设定值即告警
• 敏感路径：/admin、/config、.env 等首次被访问
• 暴力破解：高频 POST + 高 401/403 比例
• 数据泄露：响应体大小均值+3σ 外突增
• 罕见 IP：从未出现过的 IP 直接访问后台

4️⃣ 前端仪表盘（深色·高密度）

| 区域 | 内容 | | — | — | | 顶部 KPI | 总请求 / 告警数 / 唯一 IP / 告警率 | | 流量趋势 | 时间轴+红色攻击峰，可框选放大 | | Top5 攻击源 | 横向条形图，一眼看 IP 归属地 | | 告警饼图 | Critical/High/Medium/Low 四色分布 | | 实时表格 | 自动刷新，支持排序、筛选、分页 | | 详情抽屉 | 高亮载荷、一键解码 URL/Base64、回显原始日志 |

5️⃣ 日志浏览器（类 Kibana）

• 多条件筛选：状态码、Method、IP、URL、时间范围
• 全文搜索：URL、UA、Raw Log 即时全文检索
• Facets 侧边栏：Top IP & Top URL 点击即过滤
• URL 快照：所有条件写入地址栏，刷新不丢失，可分享

6️⃣ 性能&安全

• 最大 1 GB 单文件，流式分批，内存占用 < 300 MB
• Pandas 向量化+批量 SQL 插入，10 万条/秒导入
• 会话隔离：每个浏览器 Tab 独立数据空间，多人互不干扰
• 进度实时：文件解析→检测→入库三步进度条，可后台运行

7️⃣ 技术栈

| 层级 | 选型 | | — | — | | 后端 | Python 3.10 + FastAPI + SQLAlchemy + SQLite + Pandas | | 前端 | Next.js 14 (App Router) + TypeScript + TailwindCSS + Recharts | | 图标 | Lucide React + Shadcn/UI 组件 | | 分析引擎 | 独立 Python 包，不依赖 API，可单独 pip install -e analysis_engine |

8️⃣ 30 秒快速启动

# 1. 克隆 & 装依赖
git clone https://github.com/yourusername/LogSentinel.git
cd LogSentinel
python -m venv venv && source venv/bin/activate  # Win 用 venv\Scripts\activate
pip install -r requirements.txt
npm install

# 2. 起后端（默认 8000）
python run_server.py

# 3. 起前端（默认 3000）
npm run dev

# 4. 浏览器打开 http://localhost:3000
# 拖拽日志→上传→坐等红色攻击峰出现！

9️⃣ API 文档 & 二次开发

Swagger：http://localhost:8000/docs
ReDoc：http://localhost:8000/redoc
分析引擎独立包，可嵌入自己的 SOC/SIEM，无需前端

🔟 一键 Docker（即将推送镜像）

docker run -d -p 3000:3000 -p 8000:8000 \
  -v ./logs:/app/data/uploads \
  logsentinel/latest

回复LogSentinel获取

低价出售安全证书不限于cisp、pte等请Vme～，回复进群即可加入项目群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗《一款为 SOC 量身定制的 Web 访问日志实时取证系统》