功能概述
该工具从 2017 年开始编写,经过系统性更新优化,整理出相对完整可用的版本。支持一键导入日志文件/目录,自动识别日志类型,并可配置主机名、编码与分片大小,适配大体量日志快速解析。
界面与配置
软件界面可指定日志所在目录,提供部分选项,点击'分析日志'按钮即可开始分析并生成报告。界面支持配置默认主机名、开启自动识别日志类型,并可按需配置日志分片大小(默认 300MB)与日志编码(如 GB2312),以适配不同格式与大体量日志文件的处理需求。
在分析内容方面,工具支持多种筛选策略:
- URL 筛选:可选择'分析全部 URL'、'仅分析带参数',或'不带参数的 URL'。
- 资源类型过滤:例如'分析全部扩展名 URL'、'仅分析动态 URL(过滤图片、html、js、css)',或'仅分析指定后缀(如 php/asp/jsp)'。
- 状态码统计:支持全量分析、仅分析 200 状态码或指定状态码(如 404,502),便于针对异常访问进行定位。
分析报告
分析完成后,软件会在当前程序的 result 目录下生成一份 HTML 可视化报告。报告首页以仪表盘形式汇总 Web 日志的整体态势:左侧展示漏洞攻击类型分布饼图,下方提供攻击目标雷达图;中间区域集中呈现 Web 日志的核心指标,包括总访问数、PV/UV、独立 IP 数、总消耗流量、漏洞攻击数、攻击 IP 数、攻击种类、错误访问数及日志文件大小等;底部通过攻击曲线图展示攻击随时间的变化趋势,便于快速定位风险高发时段并开展溯源与处置。
流量与请求分析
- 全站请求数量曲线图:展示统计时间范围内各时间点的请求量变化情况,快速识别访问高峰与低谷,判断是否存在突发流量、集中扫描或异常请求激增。
- 全站请求流量曲线图:展示全站流量消耗随时间的变化趋势,单位以 GB 计,直观反映带宽占用情况,辅助判断大流量下载、资源盗刷或攻击引起的流量异常。
状态码与攻击行为
- 状态码分析:以表格 + 环形图展示 2xx / 3xx / 4xx / 5xx 的次数与占比,用于快速判断访问是否正常、错误请求是否集中。
- 攻击行为统计:汇总各类攻击行为及命中次数,如 SQL 注入、XSS、WebShell、SSRF/文件包含、框架漏洞探测等,便于定位主要风险点。
