该项目面向中小型网站或企业服务器的日志巡检场景。服务器运行过程中会产生大量访问日志,人工逐条排查效率较低,也不容易快速发现异常访问、敏感路径扫描、SQL 注入特征、异常状态码和高频访问等风险行为。
系统通过读取本地 Nginx 风格访问日志,将日志解析为结构化审计事件,再根据规则识别可疑 IP 和风险类型,最终把结果存入 SQLite 数据库,并在 Web 前端中展示审计事件数量、威胁 IP 数量、高危威胁数量、威胁 IP 排名和最新审计事件,方便用户快速了解服务器近期访问风险。
项目基于 Python + Flask + SQLite 开发,支持 Windows 本地运行和演示。核心功能包括日志文件读取、全量扫描、增量扫描、日志字段解析、威胁规则匹配、风险评分、威胁等级划分、审计事件入库、威胁 IP 导出和 Web 前端实时展示。
全量扫描用于首次分析完整日志文件,增量扫描用于只处理新增日志内容,避免重复扫描。系统会根据敏感后台路径、SQL 注入特征、XSS 特征、异常状态码、脚本客户端和高频访问等规则识别风险,并生成威胁 IP 列表。前端页面通过接口定时刷新,展示当前审计事件、威胁 IP、高危威胁以及最新事件记录。
本人负责该项目的整体设计与开发,包括日志解析模块、扫描模块、风险分析模块、数据库存储模块、结果导出模块和 Web 前端展示模块。
后端使用 Python 实现日志读取、全量扫描和增量扫描逻辑,将 Nginx 风格访问日志解析为 IP、时间、请求方法、访问路径、状态码、User-Agent 等结构化字段。风险分析部分基于规则评分实现,支持识别敏感后台扫描、SQL 注入特征、XSS 特征、异常状态码、脚本客户端和高频访问等行为,并根据分数划分威胁等级。
数据层使用 SQLite 保存审计事件和威胁 IP 信息,同时支持将威胁 IP 导出为 ip.txt 文件。前端使用 Flask 提供页面和接口,通过定时刷新展示审计事件数量、威胁 IP 数量、高危威胁数量、威胁 IP 排名和最新审计事件。项目支持 Windows 本地部署运行,可演示全量扫描、增量扫描和前端实时监控效果。
评论