Release v1.3.0 remote workspace

Author: Hackerchen716

.github/ISSUE_TEMPLATE/release-checklist.md

@@ -19,8 +19,9 @@ assignees: ""
 - [ ] `python3 -m unittest discover -s tests -v`
 - [ ] `python3 bla_cli.py validate-rules --strict-metadata`
 - [ ] sample log smoke tests pass with `--exit-on none`
+- [ ] `bla ssh --help` confirms Remote Workspace CLI wiring
 - [ ] `python3 -m build`
-- [ ] wheel/sdist include `bla/rules/web_attacks.yaml`
+- [ ] wheel/sdist include `bla/rules/web_attacks.yaml` and `bla/remote/ssh_workspace.py`
 
 ## Publishing
 

.github/workflows/publish.yml

@@ -44,11 +44,15 @@ jobs:
               names = archive.namelist()
               if "bla/rules/web_attacks.yaml" not in names:
                   raise SystemExit("Wheel is missing bla/rules/web_attacks.yaml")
+              if "bla/remote/ssh_workspace.py" not in names:
+                  raise SystemExit("Wheel is missing bla/remote/ssh_workspace.py")
 
           with tarfile.open(sdists[0]) as archive:
               names = archive.getnames()
               if not any(name.endswith("/bla/rules/web_attacks.yaml") for name in names):
                   raise SystemExit("Source distribution is missing bla/rules/web_attacks.yaml")
+              if not any(name.endswith("/bla/remote/ssh_workspace.py") for name in names):
+                  raise SystemExit("Source distribution is missing bla/remote/ssh_workspace.py")
           PY
 
       - name: Publish to PyPI

.github/workflows/test.yml

@@ -33,6 +33,9 @@ jobs:
       - name: Run regression tests
         run: python -m unittest discover -s tests -v
 
+      - name: Smoke test Remote Workspace CLI
+        run: python bla_cli.py ssh --help
+
       - name: Smoke test on sample logs
         # 样本日志包含故意构造的暴力破解 / Web 攻击，bla 命中严重告警时退出码为 1，
         # 这是期望行为而不是 CI 失败。允许 0 或 1，其它退出码才视为故障。
@@ -43,6 +46,8 @@ jobs:
           rc=$?; [ $rc -eq 0 ] || [ $rc -eq 1 ] || exit $rc
           python bla_cli.py sample_logs/access.log --no-color --max-alerts 5
           rc=$?; [ $rc -eq 0 ] || [ $rc -eq 1 ] || exit $rc
+          python bla_cli.py sample_logs/remote_ssh_auth.log --no-color --max-alerts 5
+          rc=$?; [ $rc -eq 0 ] || [ $rc -eq 1 ] || exit $rc
 
       - name: Build package
         if: matrix.os == 'ubuntu-latest' && matrix.python-version == '3.12'

.gitignore

@@ -42,6 +42,7 @@ Thumbs.db
 !docs/allowlist-example.json
 !tests/fixtures/**/*.json
 *.csv
+case-*/
 !sample_logs/
 
 # Logs

LICENSE

@@ -1,6 +1,6 @@
 MIT License
 
-Copyright (c) 2026 Hackerchen716 and BlueTeam Log Analyzer contributors
+Copyright (c) 2026-present Hackerchen716 and BlueTeam Log Analyzer contributors
 
 Permission is hereby granted, free of charge, to any person obtaining a copy
 of this software and associated documentation files (the "Software"), to deal

README.md

@@ -46,19 +46,19 @@ BLA 的结果分成两类：给人看的应急判断，和给系统继续处理
 
 默认 `--out report/` 会落地 `index.html`、`report.json`、`events.csv`、`iocs.txt` 和 `report.sarif`，人能看，脚本也能继续处理。
 
-## v1.2.2 Update
+## v1.3.0 Update
 
-v1.2.2 把 Windows Security 分析从“高危告警列表”推进到“应急案件还原”：围绕账号、操作者、来源 IP、工作站和目标资产做通用关联。
+v1.3.0 引入 Remote Workspace：从本机 SSH 进入远程日志目录，像普通 shell 一样 `ls`、`cd`、`pwd`，然后直接 `bla access.log` 做本地分析。目标机不需要安装 Python、pip 或 BLA。
 
 | 能力 | 说明 |
 | --- | --- |
-| Windows 账号链路 | 通用识别 `4720/4722/4724/4732 + 4624 Type 10/3`：新建账户、启用/改密、加入特权组后短时间内远程登录 |
-| 案件核心实体 | Incident 优先展示核心账号、操作者、来源 IP、来源工作站、资产和阶段，减少“未知来源/其他” |
-| 攻击路径还原 | 终端和 HTML 报告把关键事件按时间串起来，便于直接进入应急复盘或工单 |
-| ATT&CK 降噪 | 普通 `4688` 进程创建不再默认映射为 `T1059`，仅高危命令/LOLBins 才升级为执行阶段 |
-| 报告细节修正 | Top IP 过滤空值/本机来源；有时区日志默认按 UTC+8 展示并保留原始 UTC；内置 YAML 正则解析不再输出 escape warning |
+| `bla ssh` | 使用本机 OpenSSH 连接远程 Linux/POSIX 主机，支持 SSH config 主机别名、端口和私钥 |
+| 远程目录工作台 | 支持 `ls`、`cd`、`pwd`、`find`、`tail`，只执行白名单只读命令 |
+| 远程文件本地分析 | 在工作台内执行 `bla FILE`，BLA 通过 SSH 拉回文件并在本机完成解析、检测、关联和报告 |
+| `journalctl:` 输入 | 支持 `bla journalctl:ssh` 这类快捷输入，把远程 journalctl 输出作为日志源分析 |
+| 来源标记 | 报告中的 `source_file` 会标记为 `host:/remote/path`，便于转交和复盘 |
 
-更多变更见 [v1.2.2 发布说明](docs/releases/v1.2.2.md)，历史版本见 [docs/releases](docs/releases/)。
+更多变更见 [v1.3.0 发布说明](docs/releases/v1.3.0.md)，历史版本见 [docs/releases](docs/releases/)。
 
 ## 核心能力
 
@@ -281,6 +281,31 @@ bla --list-log-sources
 bla auth.log --no-color > report.txt
 ```
 
+### Remote Workspace
+
+当目标 Linux/POSIX 主机无法安装 Python、pip 或 BLA 时，可以在本机打开远程日志工作台。远程侧只需要 SSH 和系统自带命令，分析仍然在本机完成。
+
+```bash
+bla ssh root@192.168.1.20
+
+bla@root@192.168.1.20:/root$ cd /var/log/nginx
+bla@root@192.168.1.20:/var/log/nginx$ ls
+bla@root@192.168.1.20:/var/log/nginx$ bla access.log --out case-nginx --exit-on none
+```
+
+工作台内支持的命令：
+
+```text
+ls [PATH]
+cd PATH
+pwd
+find [PATH] [PATTERN]
+tail FILE [N]
+bla FILE [--out DIR]
+bla journalctl:ssh
+exit
+```
+
 ### Windows 日志导出
 
 在 Windows 主机上导出日志，拷贝到分析机后使用 BLA 分析：
@@ -368,7 +393,7 @@ fi
 ```
 ╔══════════════════════════════════════════════════════════════════════════════╗
 ║         BlueTeam Log Analyzer (BLA)  -  Blue Team Incident Response          ║
-║                    Version 1.2.2  |  100% Offline  |  No AI                  ║
+║                    Version 1.3.0  |  100% Offline  |  No AI                  ║
 ╚══════════════════════════════════════════════════════════════════════════════╝
 
 📊 分析总览

bla/__version__.py

@@ -1,3 +1,3 @@
 """Single source of truth for the BLA package version."""
 
-__version__ = "1.2.2"
+__version__ = "1.3.0"

bla/remote/__init__.py

@@ -0,0 +1,5 @@
+"""Remote workspace primitives for agentless log collection."""
+
+from .ssh_workspace import RemoteWorkspace, SSHClient
+
+__all__ = ["RemoteWorkspace", "SSHClient"]