fwlogwatch

fwlogwatch is een packet filter / firewall / IDS log analyzer geschreven door Boris Wesslowski oorspronkelijk voor RUS-CERT.
fwlogwatch ondersteunt een veel log formaten en heeft vele analysemogelijkheden. Het beschikt ook incident verslag en realtime respons mogelijkheden, een interactieve web-interface en internationalisering

Eigenschappen .

• Kan detecteren en inschrijvingen proces log in de volgende formaten:
• Linux ipchains
• Linux Netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP-firewall
• Elsa Lancom router
• Snort IDS
• Inzendingen kunnen worden ontleed uit enkele, meerdere en gecombineerde log-bestanden, kan de parsers worden gebruikt worden geselecteerd.
• Gzip-gecomprimeerde logs worden transparant ondersteund.
• Kan scheiden recente van oude ingangen en detecteert timewarps in logfiles.
• Kan herkennen 'laatste boodschap herhaalde' gegevens betreffende de firewall.
• Geïntegreerde resolver voor protocollen, diensten en host-namen.
• Kan lookups doen in de whois-database.
• eigen DNS en whois informatie cache en GNU adns ondersteuning voor snellere lookups.
• Hosts, netwerken, havens, kettingen en takken (targets) kan worden geselecteerd of uitgesloten als dat nodig is.
• Ondersteuning voor internationalisatie (beschikbaar in het Engels, Duits, Portugees, Vereenvoudigd en Traditioneel Chinees, Zweedse en Japanse).


• Log samenvatting mode:
• Een heleboel opties te vinden en weer te geven relevante patronen in verband pogingen.
• Intelligente selectie van bepaalde gebieden (bv de kolom hostnaam wordt weggelaten en de in de kop van het overzicht vermeld als de log is van een enkele gastheer gastheer, gebeurt hetzelfde met kettingen, doelstellingen en interfaces).
• Output als platte tekst of HTML (W3C XHTML 1.1 met inline of gekoppeld CSS niveau 2) met een beperking en sorteren opties.
• Kan samenvattingen per e-mail.
• De geïntegreerde rapportgenerator vult in en presenteert een rapport dat kan worden gestuurd naar contacten van het aanvallen van sites of computer emergency response teams (CERTs) misbruik.
• Ondersteunt templates en incidentnummer generatie.
• Alle gebieden kunnen worden aangepast interactief nodig.


• Realtime respons mode:
• Het programma los en blijft op de achtergrond als een daemon.
• Voor ipchains opstellingen detectie van noodzakelijke regels logging ingeschakeld kunnen worden geconfigureerd.
• Kan inhalen lezen van bestaande vermeldingen om up-to-date staat informatie uit het programma te starten op.
• Response kan een melding worden (in de vorm van een logbestand binnenkomst, een e-mail, een afgelegen WinPopup bericht of wat je kan in een shell script te zetten), of een aanpasbare firewall wijziging.
• De meegeleverde reactie script voegt een nieuwe ketting voor fwlogwatch naar ipchains of netfilter setups en aanvallers worden geblokkeerd met nieuwe firewall-regels.
• Ondersteunt vertrouwde hosts (anti-spoofing).
• De huidige status van het programma kan worden gevolgd en gecontroleerd door middel van een web-interface (ondersteunt IPv6).

Wat is nieuw in deze release:

• Deze versie voegt ondersteuning voor IPv6 netfilter, dns-cache initialisatie en ASA parser extensies.