fwlogwatch

fwlogwatch är ett paketfilter / brandvägg / IDS logganalysator skriven av Boris Wesslowski ursprungligen för RUS-CERT.
fwlogwatch stöder en hel del av loggformat och har många analysmöjligheter. Den har även incidentrapport och realtid insatsförmågan, ett interaktivt webbgränssnitt och internationalisering

Egenskaper .

• Kan upptäcka och bearbeta loggposter i följande format:
• Linux ipchains
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP brandvägg
• Elsa Lancom router
• Snort IDS
• Inlägg kan tolkas från enstaka, flera och kombinerade loggfiler, kan de tolkar som skall användas väljas.
• Gzip-komprimerade loggar stöds öppet sätt.
• Kan skilja senaste från gamla poster och upptäcker timewarps i loggfiler.
• Kan erkänna "sista meddelandet upprepas" poster om brandväggen.
• integrerad resolver för protokoll, tjänster och värdnamn.
• Kan göra uppslagningar i whois-databasen.
• Egen DNS och whois information cache och GNU ADNS stöd för snabbare sökningar.
• värdar, nätverk, hamnar, kedjor och grenar (mål) kan väljas eller uteslutas som behövs.
• Stöd för internationalisering (tillgänglig på engelska, tyska, portugisiska, förenklad och traditionell kinesiska, svenska och japanska).


• Log sammanfattning Läge:
• En hel del för att hitta och visa relevanta mönster i anslutningsförsök.
• Intelligent val av vissa områden (t.ex. värdnamnet kolumnen utelämnas och värden som anges i huvudet på sammanfattningen om stocken är från en enda värd, samma händer med kedjor, mål och gränssnitt).
• Output som vanlig text eller HTML (W3C XHTML 1.1 med inline eller länkad CSS nivå 2) med gräns och sortera alternativ.
• Kan skicka en sammanfattning via e-post.
• Den integrerade rapportgeneratorn fyller i och presenterar en rapport som kan skickas till missbruka kontakter av attackerande platser eller Computer Emergency Response lag (CERT).
• Stöder mallar och incidentnummer generation.
• Alla fält kan justeras efter behov interaktivt.


• Realtime svarsläge:
• Programmet lossnar och stannar i bakgrunden som en demon.
• För ipchains uppställningar detektion av nödvändiga regler med loggning aktiverad kan konfigureras.
• kan fånga upp läsning befintliga poster för att ge up-to-date tillståndsinformation från programstart på.
• Response kan vara en anmälan (i form av en loggfil post, e-post, en avlägsen WinPopup meddelande eller vad du kan sätta in ett skalskript), eller en anpassningsbar brandvägg modifiering.
• Den medföljande svar skript lägger till en ny kedja för fwlogwatch till ipchains eller netfilter uppställningar och angripare är blockerade med nya brandväggsregler.
• Stöder betrodda värdar (anti-spoofing).
• Aktuell status för programmet kan följas och kontrolleras via ett webbgränssnitt (stöder IPv6).

Vad är nytt i den här versionen:

• Denna version lägger IPv6-stöd för netfilter, dns cache initiering, och ASA parser förlängningar.