fwlogwatch

fwlogwatch è un / firewall / IDS di analisi dei log di filtro di pacchetto scritto da Boris Wesslowski originariamente per RUS-CERT.
fwlogwatch supporta molti formati di log e ha molte opzioni di analisi. Dispone anche di rapporto sugli incidenti e le capacità di risposta in tempo reale, una interfaccia web interattivo e internazionalizzazione

Caratteristiche .

• In grado di rilevare e voci di registro processo nei seguenti formati:
• ipchains Linux
• netfilter Linux / iptables
• Solaris / BSD / Irix / HP-UX IPFilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• firewall di Windows XP
• Elsa Lancom router
• Snort IDS
• Voci può essere analizzato dai file di registro singole, multiple e combinate, possono essere selezionati i parser da usare.
• tronchi Gzip-compressi sono supportati in modo trasparente.
• Può separare recente da vecchie voci e rileva timewarps nei file di log.
• Può riconoscere 'ultimo messaggio ripetuto' voci relative al firewall.
• resolver integrato per i protocolli, servizi e nomi host.
• Può fare ricerche nel database whois.
• DNS proprio e cache delle informazioni whois e supporto adns GNU per le ricerche più veloci.
• Hosts, le reti, i porti, catene e rami (target) possono essere selezionati o esclusi a seconda delle necessità.
• Il supporto per l'internazionalizzazione (disponibile in inglese, tedesco, portoghese, cinese semplificato e tradizionale, svedese e giapponese).


• Modalità sintesi Log:
• Un sacco di opzioni per trovare e visualizzare i modelli relativi a tentativi di connessione.
• selezione intelligente di alcuni settori (ad esempio, la colonna nome host viene omessa e il padrone di casa di cui l'intestazione del sommario se il registro è da un singolo host, lo stesso accade con le catene, gli obiettivi e le interfacce).
• uscita come testo normale o HTML (W3C XHTML 1.1 con in linea o collegate CSS livello 2) con limiti e alle opzioni di ordinamento.
• Può trasmettono una sintesi per e-mail.
• Il generatore di report integrato riempie e presenta un rapporto che può essere inviato ad abusare contatti di attaccare siti o di squadre di pronto intervento informatico (CERT).
• Supporta i modelli e la generazione di numeri incidente.
• Tutti i campi può essere regolata in base alle esigenze in modo interattivo.


• modalità di risposta in tempo reale:
• Il programma si stacca e rimane in background come demone.
• Per ipchains configurazioni individuazione di norme necessarie con la registrazione attivata può essere configurato.
• Può recuperare il ritardo di lettura le voci esistenti per fornire up-to-date informazioni dal programma statale inizio il.
• Risposta può essere una notifica (in forma di una voce del file di log, una e-mail, un messaggio WinPopup remoto o qualunque cosa si può mettere in uno script di shell), o di una modifica firewall personalizzabile.
• Lo script di risposta incluso aggiunge una nuova catena per fwlogwatch a ipchains o configurazioni di netfilter e gli attaccanti sono bloccati con le nuove regole del firewall.
• Supporta host attendibili (anti-spoofing).
• Lo stato attuale del programma può essere seguito e controllato attraverso una interfaccia web (supporta IPv6).

Cosa c'è di nuovo in questa versione:

• Questa versione aggiunge il supporto IPv6 per netfilter, l'inizializzazione della cache DNS, e le estensioni parser ASA.