fwlogwatch

fwlogwatch es un filtro de paquetes / firewall / IDS Log Analyzer escrito por Boris Wesslowski originalmente para RUS-CERT.
fwlogwatch soporta una gran cantidad de formatos de registro y tiene muchas opciones de análisis. También cuenta con reporte de incidente y la capacidad de respuesta en tiempo real, una interfaz web interactivo y la internacionalización

Características .

• Puede detectar y entradas del registro de proceso en los siguientes formatos:
• ipchains Linux
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX ipfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP firewall
• enrutador Elsa Lancom
• Snort IDS
• Las entradas se puede analizar a partir de archivos de registro individuales, múltiples y combinados, los programas de análisis que se utilizarán se pueden seleccionar.
• logs comprimidos con Gzip son compatibles con transparencia.
• Se puede separar reciente de las entradas antiguas y detecta timewarps en archivos de registro.
• ¿Puede reconocer 'último mensaje repetido' entradas relativo al firewall.
• resolución integrada para protocolos, servicios y nombres de host.
• Puede hacer búsquedas en la base de datos WHOIS.
• DNS propio y caché de información whois y apoyo ADNS GNU para búsquedas más rápidas.
• Hosts, redes, puertos, cadenas y ramas (objetivos) se pueden seleccionar o excluir, según sea necesario.
• El apoyo a la internacionalización (disponible en Inglés, alemán, portugués, chino simplificado y tradicional, sueco y japonés).


• modo de resumen de registro:
• Una gran cantidad de opciones para encontrar y mostrar patrones relevantes en los intentos de conexión.
• la selección inteligente de ciertos campos (por ejemplo, la columna de nombre de host se omite y el anfitrión se menciona en el encabezado del resumen si el registro es a partir de un único host, el mismo que sucede con las cadenas, los objetivos y las interfaces).
• Opciones de salida como texto plano o HTML (W3C XHTML 1.1 con inline o vinculados CSS nivel 2) con límite y ordenar.
• ¿Puede enviar los resúmenes por correo electrónico.
• El generador de informes integrado rellena y presenta un informe que puede enviarse a abusar de contactos de sitios o equipos de respuesta a emergencias informáticas (CERT) atacando.
• Soporta plantillas y la generación de números incidente.
• Todos los campos se puede ajustar según sea necesario de forma interactiva.


• modo de respuesta en tiempo real:
• El programa se separa y se queda en el fondo como un demonio.
• En ipchains configuraciones de detección de normas necesarias con el registro activado se puede configurar.
• ¿Puede ponerse al día leyendo las entradas existentes para proporcionar hasta al día la información de programa estatal comenzará el.
• La respuesta puede ser una notificación (en forma de un archivo de registro de entrada, un correo electrónico, un mensaje winpopup remoto o lo que usted puede poner en un script de shell), o una modificación firewall personalizable.
• El guión de respuesta incluida agrega una nueva cadena de fwlogwatch a ipchains o configuraciones de netfilter y atacantes están bloqueados con nuevas reglas de firewall.
• Soporta hosts de confianza (anti-spoofing).
• El estado actual del programa puede ser seguido y controlado a través de una interfaz web (soporta IPv6).

¿Cuál es nuevo en esta versión:

• Esta versión añade soporte IPv6 para netfilter, inicialización de caché de DNS, y extensiones analizador ASA.