fwlogwatch

fwlogwatch é um filtro de pacotes / firewall / IDS log analisador escrito por Boris Wesslowski originalmente para RUS-CERT.
fwlogwatch suporta um monte de formatos de log e tem muitas opções de análise. Ele também apresenta relatório sobre o incidente e capacidade de resposta em tempo real, uma interface web interativa e internacionalização

Recursos :.

• Pode detectar e entradas de log processo nos seguintes formatos:
• ipchains Linux
• netfilter Linux / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• firewall do Windows XP
• Elsa Lancom router
• Snort IDS
• As inscrições podem ser analisados ​​a partir de arquivos de log individuais, múltiplas e combinadas, os analisadores a serem utilizados podem ser selecionados.
• registros Gzip-comprimidas são suportados de forma transparente.
• Pode separar recente de entradas antigas e detecta timewarps em arquivos de log.
• É possível reconhecer "última mensagem repetida 'entradas relativas à firewall.
• resolvedor Integrado de protocolos, serviços e nomes de host.
• É possível fazer pesquisas na base de dados WHOIS.
• DNS própria e cache de informações whois e apoio adns GNU para pesquisas mais rápidas.
• Hosts, redes, portos, correntes e ramos (objectivos) podem ser selecionados ou excluídos conforme necessário.
• Suporte à internacionalização (disponível em Inglês, alemão, português, chinês simplificado e tradicional, sueco e japonês).


• modo resumo Log:
• Um monte de opções para encontrar e exibir os padrões relevantes em tentativas de conexão.
• Seleção Inteligente de certos domínios (por exemplo, a coluna nome de host é omitido eo anfitrião mencionado no cabeçalho do resumo, se o registro é de um único host, o mesmo acontece com correntes, alvos e interfaces).
• As opções de saída como texto simples ou HTML (W3C XHTML 1.1 com inline ou ligados CSS nível 2), com limite e classificar.
• Pode enviar resumos por e-mail.
• O gerador de relatórios integrado preenche e apresenta um relatório que pode ser enviado para abusar de contatos de atacar sites ou equipes de resposta a emergências informáticas (CERT).
• Suporta modelos e geração de números incidente.
• Todos os campos podem ser ajustados conforme necessário de forma interativa.


• modo de resposta em tempo real:
• O programa destaca e fica em segundo plano como um daemon.
• Para a detecção ipchains configurações de regras necessárias com log ativado pode ser configurado.
• Pode apanhar lendo entradas existentes para fornecer up-to-date informações de estado a partir do programa começar.
• Response pode ser uma notificação (na forma de uma entrada de arquivo de log, um e-mail, uma mensagem winpopup remoto ou o que quer que você pode colocar em um script shell), ou uma modificação firewall personalizável.
• O script de resposta incluída adiciona uma nova cadeia para fwlogwatch para ipchains ou configurações netfilter e atacantes são bloqueados com as novas regras de firewall.
• Suporta hosts confiáveis ​​(anti-spoofing).
• O status atual do programa pode ser seguido e controlado através de uma interface web (suporta IPv6).

O que é novo nesta versão:

• Esta versão adiciona suporte para IPv6 netfilter, inicialização do cache DNS, e extensões analisador ASA.