fwlogwatch

fwlogwatch là một bộ lọc gói / firewall / IDS phân tích log được viết bởi Boris Wesslowski ban đầu cho RUS-CERT.
fwlogwatch hỗ trợ rất nhiều định dạng đăng nhập và có nhiều lựa chọn phân tích. Nó cũng có tính năng báo cáo sự cố và khả năng phản ứng thời gian thực, một giao diện web tương tác và quốc tế

Tính năng .

• Có thể phát hiện và mục quá trình đăng nhập trong các định dạng sau:
• Linux ipchains
• Linux netfilter / iptables
• Solaris / BSD / Irix / HP-UX IPfilter
• BSD ipfw
• Cisco IOS
• Cisco PIX / FWSM
• NetScreen
• Windows XP firewall
• Elsa LANCOM bộ định tuyến
• Snort IDS
• Entries có thể được phân tích từ đơn, và kết hợp các tập tin log, các phân tích cú pháp được sử dụng có thể được chọn.
• bản ghi Gzip nén được hỗ trợ.
• Có thể tách gần đây từ mục cũ và phát hiện timewarps trong tập tin đăng nhập.
• Có thể nhận 'tin nhắn cuối cùng lặp đi lặp lại là "mục nhập liên quan đến các bức tường lửa.
• Tích hợp giải quyết cho các giao thức, dịch vụ và tên máy chủ.
• có thể làm tra cứu trong cơ sở dữ liệu whois.
• DNS riêng và bộ nhớ cache thông tin whois và hỗ trợ adns GNU để tra cứu nhanh hơn.
• Hosts, mạng lưới, các cảng, dây chuyền, ngành (mục tiêu) có thể được lựa chọn hoặc loại trừ khi cần thiết.
• Hỗ trợ cho quốc tế (có sẵn bằng tiếng Anh, tiếng Đức, Bồ Đào Nha, đơn giản hóa và truyền thống Trung Quốc, Thụy Điển và Nhật Bản).


• Chế độ bản tóm tắt Log:
• A rất nhiều lựa chọn để tìm kiếm và hiển thị các mẫu liên quan trong nỗ lực kết nối.
• lựa chọn thông minh của các lĩnh vực nhất định (ví dụ như các cột tên máy chủ được bỏ qua và các máy chủ được đề cập trong tiêu đề của bản tóm tắt nếu đăng nhập là từ một máy chủ duy nhất, tương tự xảy ra với chuỗi, chỉ tiêu và giao diện).
• Output như đồng bằng văn bản hoặc HTML (W3C XHTML 1.1 với nội tuyến hoặc liên kết CSS cấp 2) với hạn mức và sắp xếp các tùy chọn.
• có thể gửi bản tóm tắt bằng email.
• Các máy phát điện báo cáo tích hợp điền vào và trình bày một báo cáo có thể được gửi đến địa chỉ liên lạc của lạm dụng tấn công các trang web hoặc các đội phản ứng máy tính khẩn cấp (certs).
• Hỗ trợ mẫu và hệ số vụ việc.
• Tất cả các lĩnh vực có thể được điều chỉnh khi cần thiết tương tác.


• Chế độ phản ứng Realtime:
• Chương trình tách và ở trong nền như một daemon.
• Cần ipchains thiết lập phát hiện các quy định cần thiết với khai thác gỗ bật có thể được cấu hình.
• có thể bắt kịp đọc mục hiện có để cung cấp up-to-date thông tin từ chương trình nhà nước đầu vào.
• Phản ứng có thể là một thông báo (theo mẫu của một mục file log, một email, một tin nhắn WinPopup từ xa hoặc bất kỳ bạn có thể đưa vào một kịch bản), hoặc sửa đổi tường lửa tùy biến.
• Các kịch bản ứng phó bao gồm thêm một chuỗi mới cho fwlogwatch để ipchains hoặc các thiết lập netfilter và kẻ tấn công đều bị chặn với các quy tắc tường lửa mới.
• Hỗ trợ host tin cậy (chống giả mạo).
• Trạng thái hiện tại của chương trình có thể được theo dõi và điều khiển thông qua một giao diện web (hỗ trợ IPv6).

là gì mới trong phiên bản này:

• phiên bản này thêm hỗ trợ IPv6 cho netfilter, khởi dns cache, và mở rộng phân tích cú pháp ASA.