fwlogwatch

fwlogwatch ist ein Paketfilter / Firewall / IDS Log Analyzer von Boris Wesslowski ursprünglich für RUS-CERT geschrieben.
fwlogwatch unterstützt eine Vielzahl von Protokollformate und hat viele Analysemöglichkeiten. Es verfügt auch über Ereignisbericht und Echtzeit-Reaktionsfähigkeit, ein interaktives Web-Interface und Internationalisierung

Eigenschaften .

• erkennt und Prozess-Log-Einträge in den folgenden Formaten:
• Linux ipchains
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX IPFilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP Firewall
• Elsa Lancom Router
• Snort IDS
• Die Einträge können aus Einzel-, Mehrfach- und kombinierte Protokolldateien analysiert werden, können die Parser verwendet werden soll ausgewählt werden.
• Gzip komprimierte Protokolle werden transparent unterstützt.
• Können trennen letzten von alten Einträgen und erkennt timewarps in Protokolldateien.
• Können erkennen 'letzte Meldung wiederholt' Angaben über die Firewall.
• Integrierte Resolver für Protokolle, Dienste und Host-Namen.
• Können Lookups in der WHOIS-Datenbank zu tun.
• Eigene DNS und Whois-Cache und GNU Unterstützung adns für schnellere Lookups.
• Hosts, Netzwerke, Häfen, Ketten und Zweigen (Targets) können ausgewählt oder ausgeschlossen, wie gebraucht werden.
• Unterstützung für Internationalisierung (in Englisch, Deutsch, Portugiesisch, vereinfachtes und traditionelles Chinesisch, Schwedisch und Japanisch).


• Anmelden Zusammenfassung Mode:
• Eine Menge von Optionen zu finden und zeigt relevante Muster in Verbindungsversuche.
• Intelligente Auswahl bestimmter Felder (zB der Hostname Spalte wird weggelassen, und die in der Kopfzeile der Zusammenfassung erwähnt, wenn das Protokoll ist von einem einzigen Host-Host, das gleiche passiert mit Ketten, Ziele und Schnittstellen).
• Ausgabe als Text oder HTML (W3C XHTML 1.1 mit Inline oder verknüpfte CSS Level 2) Begrenzung und Sortieroptionen.
• Können Zusammenfassungen per E-Mail zu senden.
• Der integrierte Reportgenerator füllt und einen Bericht, die gesendet werden können, um Kontakte von angreifenden Websites oder Computer Emergency Response Teams (CERTs) missbrauchen werden.
• Unterstützt Vorlagen und Incident-Nummer Generation.
• Alle Felder können so interaktiv benötigt. Eingestellt werden


• Echtzeit-Antwortmodus:
• Das Programm löst und bleibt im Hintergrund als Daemon.
• Für ipchains Setups Erkennung von notwendigen Regeln bei aktivierter Protokollierung können konfiguriert werden.
• aufholen können vorhandene Einträge lesen es, up-to-date Zustandsinformationen vom Programm-Start auf.
• Reaktion kann eine Meldung sein (in Form einer Protokolldateieintrag, einer E-Mail, einen entfernten winpopup Nachricht oder was auch immer Sie in ein Shell-Skript setzen) oder eine anpassbare Firewall Änderung.
• Die mitgelieferte Antwort Skript fügt eine neue Kette für fwlogwatch zu ipchains oder netfilter Setups und Angreifer mit neuen Firewall-Regeln blockiert.
• Unterstützt größte Hosts (Anti-Spoofing).
• Der aktuelle Stand des Programms kann gefolgt und über ein Webinterface gesteuert werden (unterstützt IPv6).

Was ist neu in dieser Pressemitteilung:

• Diese Version bietet Unterstützung für IPv6-netfilter, DNS-Cache-Initialisierung, und ASA-Parser-Erweiterungen.