快速入門

Admin Login Monitor 為 WHMCS 加一層「誰、何時、從哪裡登入後台」的可觀察性，並在 Pro 版下做異常攔截與告警。本指南涵蓋安裝、首次查看日誌、Pro 端設定告警與 IP 規則。

適用對象：WHMCS 主機商或開發者。任何 WHMCS 站點都可啟用，無業務侵入。

1. 安裝與啟用

1. 下載與 PHP 版本相符的 ZIP（如 admin_login_monitor_v1.x.x_php8.1.zip）解壓到 WHMCS 根目錄。
2. WHMCS 後台：Setup → Apps & Integrations → Admin Login Monitor → Activate。
3. Configuration → Addon Modules → Admin Login Monitor → 勾選允許存取的 admin 角色（推薦 Full Administrator） + 貼上 license key（僅 Pro 功能需要） + 儲存。
4. 頂部選單 Addons → Admin Login Monitor 進入控制台。

啟用後外掛會通過 hook 自動寫入 mod_admin_login_monitor_logs 表的登入事件，不影響現有 WHMCS 登入流程。

2. 儀表盤

儀表盤看到：

• 7 天趨勢圖（成功 vs 失敗登入）
• 最近 10 筆登入紀錄（使用者名 / IP / GeoIP / 時間 / 狀態）
• 異常計數（失敗 / 鎖定）

頁面頂部選單切換到「日誌」可分頁瀏覽全部紀錄，支援按時間範圍和狀態篩選。

3. 日誌頁（Logs）

完整登入事件列表。每條紀錄包含：

• 管理員使用者名（成功登入時）
• 來源 IP + GeoIP（國家 / 城市，最近紀錄自動後台非同步解析）
• 事件類型：success / failed / locked / sso 等
• 時間戳（按 WHMCS 時區）

支援分頁、按時間範圍篩選、按使用者名/IP 搜尋。

4. 告警規則（Pro）

Pro 版開放「告警」（Alerts）頁：

1. 建立規則 → 選擇觸發條件： - 失敗次數閾值：例如 5 分鐘內同一 IP 失敗 ≥ 5 次 - 新 IP 登入：成功登入但來源 IP 從未出現過 - 境外登入：GeoIP 國家不在白名單 - 非工作時段登入：可設定工作時段窗口
2. 選擇通知渠道：電子郵件 / Slack incoming webhook / 自訂 webhook
3. 儲存即生效。

每個規則可單獨啟用/停用，並獨立計數最近觸發次數。

5. IP 規則（Pro）

「IP 規則」（IP Rules）頁面：

• 白名單：只放行列表內 IP；非白名單存取嘗試一律記錄並可觸發告警
• 黑名單：直接拒絕 IP 後續登入嘗試

支援單 IP / CIDR / IP 段。規則儲存後立即生效（next request 進入 hook 時檢查）。

6. 設定（Pro）

「設定」（Settings）頁面：

• 失敗登入後鎖定閾值（預設 10 次失敗 → 鎖定 15 分鐘）
• 日誌保留天數（超期自動清理）
• GeoIP 提供商（預設 ip-api.com 免費版）
• 通知渠道憑證（電子郵件 SMTP、Slack webhook URL、自訂 webhook）

7. 自動更新

填好 license 後右側「檢查更新」面板可拉取最新版本號；如有更新點「安裝更新」走 WHMCS 標準更新流程。

8. 常見問題

Q：免費版能用什麼？ A：儀表盤 + 完整日誌 + 7 天趨勢圖 + GeoIP 富化全部可用。Alerts / IP Rules / Settings 三頁需要 Pro license。

Q：日誌寫入是否會影響登入效能？ A：單條 INSERT，本地資料庫；GeoIP 富化是後台非同步解析，不阻塞登入。

Q：IP 黑名單生效需要重啟嗎？ A：不需要。每次登入請求進入 hook 時即時查規則。

Q：能否對接外部 SIEM（如 Splunk / ELK）？ A：可以通過自訂 webhook 把每條事件 POST 到外部系統。

更多深入文件（hook 時序、表結構、規則引擎）見商城內的「完整文件」。