fwlogwatch

fwlogwatch er et pakkefilter / brannmur / IDS logg analysator skrevet av Boris Wesslowski opprinnelig for RUS-CERT.
fwlogwatch støtter en rekke logge formater og har mange analysemuligheter. Den har også hendelsesrapport og realtime respons evner, en interaktiv web-grensesnitt og internasjonalisering

Egenskaper .

• Kan oppdage og behandle loggoppføringer i følgende formater:
• Linux ipchains
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP brannmur
• Elsa Lancom router
• Snort IDS
• Oppføringer kan analyseres fra enkeltrom, flere og kombinerte loggfiler, kan de parsere som skal brukes velges.
• Gzip-komprimerte logger støttes transparent.
• Kan skille siste fra gamle oppføringer og oppdager timewarps i loggfiler.
• Kan gjenkjenne 'siste meldingen gjentas' oppføringer om brannmuren.
• Integrert resolver for protokoller, tjenester og vertsnavn.
• Kan gjøre oppslag i whois-databasen.
• egen DNS og whois informasjon cache og GNU ADNS støtte for raskere oppslag.
• verter, nettverk, havner, kjeder og grener (mål) kan velges eller ekskluderes etter behov.
• Støtte for internasjonalisering (tilgjengelig på engelsk, tysk, portugisisk, forenklet og tradisjonell kinesisk, svensk og japansk).


• Logg sammendrag-modus:
• En rekke alternativer for å finne og vise relevante mønstre i tilkoblingsforsøk.
• Intelligent utvalg av bestemte felt (f.eks vertsnavnet kolonnen er utelatt og vert nevnt i overskriften av sammendraget dersom loggen er fra en enkelt vert, skjer det samme med kjettinger, mål og grensesnitt).
• Output som ren tekst eller HTML (W3C XHTML 1.1 med inline eller koblet CSS level 2) med limit og sortere alternativer.
• Kan sende sammendrag av e-post.
• Den integrerte rapportgenerator fyller inn og presenterer en rapport som kan sendes til misbruke kontaktene angripe nettsteder eller datamaskin beredskapsteam (konserter).
• Støtter maler og hendelsesnummer generasjon.
• Alle felt kan justeres etter behov interaktivt.


• Realtime responsmodus:
• Programmet løsner og forblir i bakgrunnen som en daemon.
• For ipchains oppsett påvisning av nødvendige regler med logging aktivert kan konfigureres.
• Kan fange opp lese eksisterende oppføringer å gi up-to-date statlig informasjon fra programstart på.
• Response kan være et varsel (i form av en loggfil oppføring, en epost, en ekstern winpopup melding eller noe du kan sette inn et shell script), eller en passelig brannmur modifikasjon.
• Den medfølgende respons script legger til en ny kjede for fwlogwatch å ipchains eller netfilter oppsett og angripere er blokkert med nye brannmurregler.
• Støtter troverdige verter (anti-spoofing).
• Den nåværende status av programmet kan følges og kontrolleres via et webgrensesnitt (støtter IPv6).

Hva er nytt i denne versjonen:

• Denne versjonen legger IPv6-støtte for netfilter, dns cache initialisering, og ASA parser utvidelser.