fwlogwatch

fwlogwatch est un filtre de paquets / firewall / IDS analyseur de log écrit par Boris Wesslowski origine pour RUS-CERT.
fwlogwatch prend en charge un grand nombre de formats de journaux et possède de nombreuses options d'analyse. Il dispose également rapport d'incident et les capacités de réponse en temps réel, une interface Web interactive et l'internationalisation

Caractéristiques :.

• Peut détecter et entrées du journal des processus dans les formats suivants:
• ipchains Linux
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• pare-feu Windows XP
• Elsa Lancom routeur
• IDS Snort
• Entrées peut être analysée à partir des fichiers journaux uniques, multiples et combinées, les analyseurs d'être utilisés peuvent être sélectionnés.
• journaux Gzip compressés sont pris en charge de manière transparente.
• Peut séparer récente de vieilles entrées et détecte timewarps dans des fichiers journaux.
• peut reconnaître «dernier message répété 'entrées concernant le pare-feu.
• résolveur intégré pour les protocoles, services et noms d'hôte.
• Peut effectuer des recherches dans la base de données whois.
• propre DNS et whois cache de l'information et le soutien de adns GNU pour des recherches plus rapides.
• Hôtes, les réseaux, les ports, les chaînes et les branches (cibles) peuvent être sélectionnés ou exclus selon les besoins.
• Soutien à l'internationalisation (disponible en anglais, allemand, portugais, chinois simplifié et traditionnel, suédois et japonais).


• mode résumé Connexion:
• Un grand nombre d'options pour trouver et afficher des motifs pertinents dans les tentatives de connexion.
• sélection intelligente de certains domaines (par exemple, la colonne de nom d'hôte est omis et l'hôte mentionné dans l'en-tête du résumé si le journal est d'un hôte unique, le même qui se passe avec des chaînes, des objectifs et des interfaces).
• sortie en texte brut ou HTML (W3C XHTML 1.1 avec en ligne ou liés CSS niveau 2) avec une limite et des options de tri.
• peut-il envoyer des résumés par courriel.
• Le générateur de rapport intégré remplit et présente un rapport qui peut être envoyé à abuser de contacts de sites ou des équipes d'intervention d'urgence informatique (CERT) attaquer.
• Prise en charge des modèles et la génération de numéro d'incident.
• Tous les champs peut être ajustée selon les besoins de manière interactive.


• mode de réponse en temps réel:
• Le programme se détache et reste en arrière-plan comme un démon.
• Pour la détection ipchains des configurations de règles nécessaires à l'exploitation forestière activé peut être configuré.
• Peut rattraper lecture entrées existantes afin de fournir des informations à jour du programme sur l'état commencer.
• Réponse peut être une notification (sous la forme d'une entrée de fichier journal, un email, un message de winpopup distant ou ce que vous pouvez mettre dans un script shell), ou une modification de pare-feu personnalisable.
• Le script de réponse inclus ajoute une nouvelle chaîne pour fwlogwatch à ipchains ou configurations netfilter et attaquants sont bloqués avec de nouvelles règles de pare-feu.
• Prise en charge des hôtes approuvés (anti-spoofing).
• L'état actuel du programme peut être suivi et contrôlé par une interface web (supporte IPv6).

Quoi de neuf dans cette version:

• Cette version ajoute le support IPv6 pour netfilter, cache DNS initialisation, ASA et extensions de l'analyseur.