
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
asannou/lorg 是一个基于Docker的Apache日志文件安全分析工具,用于检测Apache访问日志中的安全事件和潜在威胁。通过分析日志内容,该工具可识别***向量、客户端标识符、DNS黑名单匹配等安全相关指标,支持多种输出格式,便于安全审计和威胁分析。
common、combined、vhost、logio、cookiehtml、json、xml、csvchars(字符分析)、phpids(PHPIDS规则匹配)、mcshmm(MCSHMM算法)、dnsbl(DNS黑名单匹配)、geoip(地理IP分析)、all(全部启用)path(路径遍历)、argnames(参数名异常)、cookie(Cookie注入)、agent(***User-Agent)、all(全部启用)host(主机)、session(会话)、user(用户)、logname(登录名)、all(全部启用)tor(Tor节点)、proxy(代理服务器)、zombie(僵尸网络)、spam(垃圾邮件源)、dialup(拨号网络)、all(全部启用)status(状态码统计)、bytes(流量统计)、replay(请求重放分析)、all(全部启用)-t 参数设置检测阈值(0到n,默认10),调整检测敏感度-v 参数控制输出详细程度(0到3,默认1)-n 参数禁用结果汇总,输出单个事件;-u 参数对编码请求进行URL解码(仅影响报告)-h 将数字IP转换为主机名;-g 启用地理定位(需单独文件);-p 对日志文件执行简单篡改检测通过Docker运行容器,需挂载日志文件所在目录,并指定输入日志文件。基本命令格式如下:
bashdocker run -it --rm -v $(pwd):/root docker.xuanyuan.run/asannou/lorg [选项] 输入日志文件 [输出文件]
参数说明:
-it:交互式终端,便于查看输出--rm:容器退出后自动删除-v $(pwd):/root:将当前目录挂载到容器内 /root 目录,以便访问输入日志文件输入日志文件:需分析的Apache日志文件路径(相对于容器内挂载目录,如 /root/access.log)| 选项 | 描述 | 允许值 | 默认值 |
|---|---|---|---|
-i | 指定输入格式 | common、combined、vhost、logio、cookie | - |
-o | 指定输出格式 | html、json、xml、csv | - |
-d | 指定检测模式 | chars、phpids、mcshmm、dnsbl、geoip、all | - |
-a | 额外***向量 | path、argnames、cookie、agent、all | - |
-c | 客户端标识符 | host、session、user、logname、all | - |
-b | DNSBL类型 | tor、proxy、zombie、spam、dialup、all | - |
-q | 量化类型 | status、bytes、replay、all | - |
-t | 检测阈值(0到n) | 数值 | 10 |
-v | 详细程度(0到3) | 0(最低)-3(最高) | 1 |
-n | 禁用结果汇总,输出单个事件 | 无值(启用即生效) | - |
-u | 对请求进行URL解码(仅影响报告) | 无值(启用即生效) | - |
-h | 将数字IP转换为主机名 | 无值(启用即生效) | - |
-g | 启用地理定位(需单独文件) | 无值(启用即生效) | - |
-p | 执行日志篡改检测 | 无值(启用即生效) | - |
示例1:基本日志分析
分析当前目录下的 access.log,输出HTML格式报告到 report.html,启用全部检测模式:
bashdocker run -it --rm -v $(pwd):/root docker.xuanyuan.run/asannou/lorg -i combined -o html -d all access.log report.html
示例2:高详细度检测
分析 vhost 格式日志,启用路径和Cookie***向量检测,详细程度设为最高(3),阈值设为5:
bashdocker run -it --rm -v $(pwd):/root docker.xuanyuan.run/asannou/lorg -i vhost -a path,cookie -v 3 -t 5 access_vhost.log
示例3:日志篡改检测
对日志文件执行篡改检测,并输出JSON格式结果:
bashdocker run -it --rm -v $(pwd):/root docker.xuanyuan.run/asannou/lorg -o json -p access.log tamper_result.json
-g)需容器内存在对应地理IP数据库文件,需额外挂载或配置/root,则文件路径为 /root/文件名)您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
来自真实用户的反馈,见证轩辕镜像的优质服务