🪟 WinLog-mcp
用于检索和分析 Windows 事件日志(例如应用程序、系统、安全)的模型上下文协议 (MCP) 工具。WinLog-mcp 提供编程访问,用于提取和查询 Windows 事件日志,使其成为安全监控、事件响应和日志分析自动化的理想选择。
⚠️警告:此工具必须以管理员权限运行。请谨慎操作,以免对您的系统造成意外更改。
✨ 特点
提取 Windows Sysmon 日志并将其作为文件存储在用户定义的目录中
按时间戳查询日志,返回最近的事件条目以供分析或故障排除
与 MCP 工具和生态系统的无缝互操作性
📄 日志文件格式
日志文件在所选存储路径中以
<timestamp>_<log_type>.log格式命名
Related MCP server: Brummer MCP Server
MCP 服务器(工具、提示……)
🛠️ 可用工具
ingest_syslog:提取最近的 Sysmon 日志并将其写入文件query_syslog:按时间戳查询已摄取的日志并返回最近的事件
📋 要求
操作系统: Windows
Python: 3.7 或更高版本
依赖项:
mcp.server.fastmcp (或您的 MCP 服务器实现)
💾 安装
克隆存储库并安装依赖项:
pip install -r requirements.txt
🚀 使用方法
Sysmon 安装
参考: Sysmon 安装指南
cd sysmon
install.bat
▶️直接运行
作为 MCP 服务器运行该工具:
python main.py --storage-path \\PATH\\TO\\logs\\
🧑💻开发模式
您可以使用 MCP 检查器进行检查或调试:
# Run in development mode
python \\PATH\\TO\\main.py --storage-path \\PATH\\TO\\logs\\
# Run in inspector mode
npx @modelcontextprotocol/inspector python \\PATH\\TO\\main.py --storage-path \\PATH\\TO\\logs\\
⚙️ 配置
MCP 配置以运行 winlog-mcp 工具。
{
"mcpServers": {
"winlog-mcp": {
"command": "python",
"args": [
"\\PATH\\TO\\main.py",
"--storage-path",
"\\PATH\\TO\\logs\\"
]
}
}
}
🤖 MCP 客户端集成
💬 Claude 桌面集成
配置文件位于:
Windows:
%APPDATA%\Claude\claude_desktop_config.json
与 Claude Desktop 集成后,您可以要求 Claude:
请显示过去 24 小时内发生的最后 10 起事件,并对其进行分析。
📄 许可证
该项目根据 MIT 许可证获得许可 - 有关详细信息,请参阅LICENSE文件。