RedEye：开源红队安全分析工具，支持日志解析与可视化报告

RedEye由美国CISA和太平洋西北国家实验室联合开发，用于协助红队分析、展示命令控制活动，帮助评估缓解策略并生成决策依据。RedEye解析Cobalt Strike等日志数据，通过可视化界面简化操作路径分析，支持添加标签、批注，提供演示模式便于向利益相关方汇报。

核心功能

自动解析日志文件，替代人工逐行审查数千行日志

动态重现红队攻击路径，直观展示主机入侵过程

支持红蓝队协作：红队导出数据后，蓝队可通过只读模式查看

快速启动

1、从Releases页面下载对应操作系统的RedEye二进制文件

2、选择运行模式：

红队模式：执行命令启动服务（需设置密码）

./RedEye --redTeam --password <your_password>

蓝队模式：双击运行程序或执行

./RedEye

3、浏览器访问 http://127.0.0.1:4000 使用工具

模式差异

红队模式：完整功能，支持日志导入、数据标注、生成.redeye导出文件

蓝队模式：仅查看红队导出的.redeye文件，界面简化

数据传递流程

1、红队导出.redeye文件

2、将RedEye程序与.redeye文件放入同一目录下的campaigns文件夹

3、蓝队启动程序即可加载数据

高级配置

支持Docker部署：修改docker-compose.yml环境变量后启动容器

服务参数：通过命令行或config.json文件设置端口、密码、解析器类型

本地编译：需安装yarn，执行yarn release:all生成多平台二进制文件

系统兼容性

系统支持：Ubuntu 18+/Kali 2020.1+、macOS El Capitan+、Windows 7+

首次运行macOS需在系统设置中手动授权

示例与测试

仓库的./applications/redeye-e2e/src/fixtures目录包含测试数据集，可用于功能验证。解析器文件夹内置Cobalt Strike等日志解析模块，支持扩展自定义解析规则。