Apache日志文件安全分析器 (asannou/lorg)

镜像概述

asannou/lorg 是一个基于Docker的Apache日志文件安全分析工具，用于检测Apache访问日志中的安全事件和潜在威胁。通过分析日志内容，该工具可识别***向量、客户端标识符、DNS黑名单匹配等安全相关指标，支持多种输出格式，便于安全审计和威胁分析。

核心功能和特性

输入输出格式支持

• 输入格式：支持常见Apache日志格式，包括 common、combined、vhost、logio、cookie
• 输出格式：支持多种报告格式，包括 html、json、xml、csv

安全检测能力

• 检测模式：提供多种安全检测模式，包括 chars（字符分析）、phpids（PHPIDS规则匹配）、mcshmm（MCSHMM算法）、dnsbl（DNS黑名单匹配）、geoip（地理IP分析）、all（全部启用）
• 向量识别：可检测额外向量，包括 path（路径遍历）、argnames（参数名异常）、cookie（Cookie注入）、agent（***User-Agent）、all（全部启用）
• 客户端标识符：支持识别客户端标识，包括 host（主机）、session（会话）、user（用户）、logname（登录名）、all（全部启用）
• DNSBL类型：支持检测多种DNS黑名单类型，包括 tor（Tor节点）、proxy（代理服务器）、zombie（僵尸网络）、spam（垃圾邮件源）、dialup（拨号网络）、all（全部启用）

分析与报告选项

• 量化类型：支持结果量化分析，包括 status（状态码统计）、bytes（流量统计）、replay（请求重放分析）、all（全部启用）
• 阈值控制：可通过 -t 参数设置检测阈值（0到n，默认10），调整检测敏感度
• 详细程度：通过 -v 参数控制输出详细程度（0到3，默认1）
• 结果展示：支持 -n 参数禁用结果汇总，输出单个事件；-u 参数对编码请求进行URL解码（仅影响报告）
• 辅助功能：支持 -h 将数字IP转换为主机名；-g 启用地理定位（需单独文件）；-p 对日志文件执行简单篡改检测

使用场景

• 安全审计人员分析Apache服务器访问日志，识别潜在***行为
• 网站管理员监控服务器访问模式，检测异常请求和***访问
• 安全团队对历史日志进行批量分析，评估服务器受***情况
• 运维人员排查日志异常，验证日志完整性（通过篡改检测功能）

使用方法和配置说明

基本使用命令

通过Docker运行容器，需挂载日志文件所在目录，并指定输入日志文件。基本命令格式如下：

bash
docker run -it --rm -v $(pwd):/root asannou/lorg [选项] 输入日志文件 [输出文件]

参数说明：

• -it：交互式终端，便于查看输出
• --rm：容器退出后自动删除
• -v $(pwd):/root：将当前目录挂载到容器内 /root 目录，以便访问输入日志文件

必选参数

• 输入日志文件：需分析的Apache日志文件路径（相对于容器内挂载目录，如 /root/access.log）

可选参数详解

使用示例

示例1：基本日志分析

分析当前目录下的 access.log，输出HTML格式报告到 report.html，启用全部检测模式：

bash
docker run -it --rm -v $(pwd):/root asannou/lorg -i combined -o html -d all access.log report.html

示例2：高详细度检测

分析 vhost 格式日志，启用路径和Cookie***向量检测，详细程度设为最高（3），阈值设为5：

bash
docker run -it --rm -v $(pwd):/root asannou/lorg -i vhost -a path,cookie -v 3 -t 5 access_vhost.log

示例3：日志篡改检测

对日志文件执行篡改检测，并输出JSON格式结果：

bash
docker run -it --rm -v $(pwd):/root asannou/lorg -o json -p access.log tamper_result.json

注意事项

• 地理定位功能（-g）需容器内存在对应地理IP数据库文件，需额外挂载或配置
• 输入日志文件路径需相对于容器内挂载目录（如示例中挂载当前目录到 /root，则文件路径为 /root/文件名）
• 若未指定输出文件，结果将直接输出到终端