OXY-Log-Audit MCP Plugin

日志审计 MCP 插件 - 轻量级日志分析工具

功能特性

• 日志查询 - 支持关键字搜索、时间范围过滤
• 威胁检测 - 自动识别安全威胁（暴力破解、SQL注入、恶意软件等）
• 模式分析 - 日志模式识别和统计
• 告警管理 - 自动生成安全告警，含MITRE ATT&CK映射
• 规则库 - 内置1500+条检测规则，覆盖15大类别

安装

pip install oxy-log-audit-mcp

配置

环境变量：

• LOG_API_URL: API 地址 (默认 http://localhost:8000)
• LOG_API_KEY: API 密钥

MCP Tools (5个)

| 工具 | 功能 | |------|------| | log_query | 查询日志（自动威胁检测） | | log_threats | 威胁检测 | | log_stats | 日志统计（含规则库统计） | | log_alerts | 告警列表（含MITRE映射） | | log_rules | 规则库查询 |

规则库 (1500+条)

| 类别 | 数量 | 覆盖内容 | |------|------|---------| | 认证攻击 | 80条 | 暴力破解、凭证填充、MFA绕过、Kerberoasting | | Web攻击 | 150条 | SQL注入、XSS、命令注入、CSRF、SSRF | | 恶意软件 | 100条 | 挖矿、勒索、木马、Rootkit、无文件攻击 | | 横向移动 | 50条 | RDP/SSH横向、Pass-the-Hash、票据传递 | | 数据外泄 | 50条 | DNS隧道、云存储、邮件外发、数据库导出 | | 权限提升 | 50条 | Sudo滥用、内核漏洞、服务提权 | | 持久化 | 50条 | 注册表、计划任务、SSH密钥、后门 | | 防御规避 | 50条 | 日志清除、进程注入、混淆技术 | | 侦察扫描 | 50条 | 端口扫描、漏洞扫描、信息收集 | | 云安全 | 60条 | AWS/Azure/GCP配置异常、影子IT | | 容器安全 | 40条 | 容器逃逸、镜像投毒、编排攻击 | | 网络安全 | 50条 | 流量异常、DNS隧道、网络隔离 | | 端点检测 | 60条 | 进程行为、注册表监控、文件监控 | | 合规检查 | 50条 | PCI-DSS、GDPR、ISO27001 | | 身份安全 | 50条 | 异常登录、权限滥用、特权账户 |

总计: 1500+条规则

MITRE ATT&CK 映射

规则已映射到 MITRE ATT&CK 技术ID:

• T1110 暴力破解
• T1190 利用面向公众的应用程序
• T1059 命令和脚本解释器
• T1547 自启动执行
• T1071 应用层协议
• T1486 影响-数据加密
• T1003 凭证转储
• T1021 远程服务
• T1566 网络钓鱼
• 等等...

对比主流商用

| 产品 | 规则数量 | |------|---------| | Splunk ES | 2000+ | | Elastic Security | 1500+ | | IBM QRadar | 3000+ | | OXY-Log-Audit | 1500+ ✅ |

许可证

MIT License