Roadmap: v1.5 Parser Ecosystem 与 P0 Adapter Split

[Hackerchen716]

定位

v1.5 的目标是把 BLA 从“内置几个解析器”推进到“可持续扩展的解析生态”。P0/HVV 结构化日志会继续增长，不能长期堆在一个 p0_security.py 里。

目标架构

bla/parsers/
  registry.py
  p0_security/
    __init__.py
    base.py
    waf.py
    vpn.py
    bastion.py
    dns.py
    proxy.py
    firewall.py
    edr.py
    application.py

P0

• 拆出 P0 adapter 基类：can_handle(fields, source) + build_event(fields, raw_line, source)
• WAF adapter 独立
• VPN adapter 独立
• 堡垒机 adapter 独立
• DNS adapter 独立
• Proxy / Firewall / EDR / App 分阶段拆出
• 每个 adapter 保留统一 details 字段：source_type/src_ip/dst_ip/asset/account/action/status/url/command/process/session_id/trace_id
• 每个 adapter 至少一个 sample + golden assertion

P1

• 自定义 YAML 规则从 Web 扩展到 P0 security events
• 为厂商日志适配建立 samples 目录规范
• 增加 bla validate-rules 对 P0 规则的校验
• 文档补充“新增解析器指南”

不做

• 不把所有厂商字段硬编码进一个中央 mapper
• 不在 parser 层做跨事件聚合
• 不为了适配单个厂商破坏统一 LogEvent 契约

验收标准

• 原有 P0 fixture 和 golden incident 测试全部通过
• 新增一个 adapter 不需要修改 CLI
• 新增一个 adapter 对 detection/output 透明
• 文档能指导贡献者新增一个最小 parser