快速开始

Admin Login Monitor 给 WHMCS 加一层「谁、何时、从哪里登录后台」的可观察性，并在 Pro 版下做异常拦截与告警。本指南覆盖安装、首次查看日志、Pro 端配置告警与 IP 规则。

适用对象：WHMCS 主机商或开发者。任何 WHMCS 站点都可启用，无业务侵入。

1. 安装与启用

1. 下载与 PHP 版本匹配的 ZIP（如 admin_login_monitor_v1.x.x_php8.1.zip）解压到 WHMCS 根目录。
2. WHMCS 后台：Setup → Apps & Integrations → Admin Login Monitor → Activate。
3. Configuration → Addon Modules → Admin Login Monitor → 勾选允许访问的 admin 角色（推荐 Full Administrator） + 粘贴 license key（仅 Pro 功能需要） + 保存。
4. 顶部菜单 Addons → Admin Login Monitor 进入控制台。

激活后插件会通过 hook 自动写入 mod_admin_login_monitor_logs 表的登录事件，不影响现有 WHMCS 登录流程。

2. 仪表盘

仪表盘看到：

• 7 天趋势图（成功 vs 失败登录）
• 最近 10 条登录记录（用户名 / IP / GeoIP / 时间 / 状态）
• 异常计数（失败 / 锁定）

页面顶部菜单切换到「日志」可分页浏览全部记录，支持按时间范围和状态过滤。

3. 日志页（Logs）

完整登录事件列表。每条记录包含：

• 管理员用户名（成功登录时）
• 来源 IP + GeoIP（国家 / 城市，最近记录自动后台异步解析）
• 事件类型：success / failed / locked / sso 等
• 时间戳（按 WHMCS 时区）

支持分页、按时间范围筛选、按用户名/IP 搜索。

4. 告警规则（Pro）

Pro 版开放「告警」（Alerts）页：

1. 创建规则 → 选择触发条件： - 失败次数阈值：例如 5 分钟内同一 IP 失败 ≥ 5 次 - 新 IP 登录：成功登录但来源 IP 从未出现过 - 境外登录：GeoIP 国家不在白名单 - 非工作时段登录：可设置工作时段窗口
2. 选择通知渠道：邮件 / Slack incoming webhook / 自定义 webhook
3. 保存即生效。

每个规则可单独启用/禁用，并独立计数最近触发次数。

5. IP 规则（Pro）

「IP 规则」（IP Rules）页面：

• 白名单：只放行列表内 IP；非白名单访问尝试一律记录并可触发告警
• 黑名单：直接拒绝 IP 后续登录尝试

支持单 IP / CIDR / IP 段。规则保存后立即生效（next request 进入 hook 时检查）。

6. 设置（Pro）

「设置」（Settings）页面：

• 失败登录后锁定阈值（默认 10 次失败 → 锁定 15 分钟）
• 日志保留天数（超期自动清理）
• GeoIP 提供商（默认 ip-api.com 免费版）
• 通知渠道凭据（邮件 SMTP、Slack webhook URL、自定义 webhook）

7. 自动更新

填好 license 后右侧「检查更新」面板可拉取最新版本号；如有更新点「安装更新」走 WHMCS 标准更新流程。

8. 常见问题

Q：免费版能用什么？ A：仪表盘 + 完整日志 + 7 天趋势图 + GeoIP 富化全部可用。Alerts / IP Rules / Settings 三页需要 Pro license。

Q：日志写入是否会影响登录性能？ A：单条 INSERT，本地数据库；GeoIP 富化是后台异步解析，不阻塞登录。

Q：IP 黑名单生效需要重启吗？ A：不需要。每次登录请求进入 hook 时实时查规则。

Q：能否对接外部 SIEM（如 Splunk / ELK）？ A：可以通过自定义 webhook 把每条事件 POST 到外部系统。

更多深入文档（hook 时序、表结构、规则引擎）见商城内的「完整文档」。