fwlogwatch

fwlogwatch er en pakke-filter / firewall / IDS log analysator skrevet af Boris Wesslowski oprindeligt for RUS-CERT.
fwlogwatch understøtter en masse log-formater og har mange analysemuligheder. Det er også udstyret Hændelsesrapport og realtime respons kapaciteter, en interaktiv web interface og internationalisering

Funktioner :.

• Kan opdage og proces log poster i følgende formater:
• Linux ipchains
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP firewall
• Elsa Lancom router
• Snort IDS
• Entries kan analyseres fra enkelt, flere og kombinerede logfiler, kan vælges parsere, der skal anvendes.
• Gzip-komprimerede logfiler understøttes transparent.
• Kan adskille seneste fra gamle poster og registrerer timewarps i logfiler.
• Kan genkende 'sidste besked gentaget angivelser vedrørende firewall.
• Integreret resolver for protokoller, tjenester og værtsnavne.
• Kan gøre opslag i whois database.
• Egen DNS og whois information cache og GNU ADNS støtte til hurtigere opslag.

Kan vælges eller udelukkes efter behov
• værter, netværk, havne, kæder og filialer (mål).
• Støtte til internationalisering (tilgængelig på engelsk, tysk, portugisisk, forenklet og traditionel kinesisk, svensk og japansk).


• Log summary mode:
• En masse af muligheder for at finde og vise relevante mønstre i forbindelse forsøg.
• Intelligent udvælgelse af visse områder (f.eks værtsnavnet kolonnen er udeladt og værten er nævnt i overskriften på resuméet, hvis log er fra en enkelt vært, det samme sker med kæder, mål og grænseflader).
• Output som almindelig tekst eller HTML (W3C XHTML 1.1 med inline eller knyttet CSS niveau 2) med limit og sortere indstillinger.
• Kan sende resuméer via e-mail.
• Den integrerede rapport generator udfylder og præsenterer en rapport, der kan sendes til misbrug kontakter angribe hjemmesider eller Computer Emergency Response Teams (CERT).
• Understøtter skabeloner og hændelse nummer generation.
• Alle felter kan justeres efter behov interaktivt.


• Realtime respons mode:
• Programmet løsner og forbliver i baggrunden som en dæmon.
• For ipchains setups påvisning af nødvendige regler med logning aktiveret kan konfigureres.
• Kan indhente læsning eksisterende poster til at give up-to-date state information fra programmet starte på.
• Reaktion kan være en meddelelse (i form af en logfil indrejse, en e-mail, en fjern Winpopup besked eller hvad du kan sætte ind i en shell script), eller en tilpasselig firewall modifikation.
• Den medfølgende svar script tilføjer en ny kæde til fwlogwatch til ipchains eller netfilter opsætninger og angribere er blokeret med nye firewall regler.
• Understøtter betroede værter (anti-spoofing).
• Den aktuelle status for programmet kan følges og styres via en web-grænseflade (understøtter IPv6).

Hvad er nyt i denne udgivelse:

• Denne version tilføjer IPv6 understøttelse af netfilter, dns cache initialisering, og ASA parser extensions.