fwlogwatchはRUS-CERTのためにもともとボリスWesslowskiによるもので書かれたパケットフィルタ/ファイアウォール/ IDSのログアナライザです。
fwlogwatchは、ログ形式の多くをサポートし、多くの解析オプションを持っています。 。
次の形式で検出し、プロセスのログエントリができます:それはまた、インシデントレポートとリアルタイム応答機能、インタラクティブなWebインターフェースと国際化
この機能を備えています:
Linuxのipchainsの
のLinuxのnetfilter / iptablesの
Solarisの/ BSD / Irixの/ HP-UXのipfilter
BSDのipfw
Cisco IOSの
シスコPIX / FWSM
のNetScreen
Windows XPのファイアウォール
エルザLANCOMルータ
SnortのIDS
エントリは、単一の複数と組み合わされ、ログファイルから解析することができ、使用されるパーサーを選択することができます。
gzipで圧縮されたログは透過的にサポートされています。
古いエントリから最近分離し、ログファイルにタイムワープを検出することができます。
ファイアウォールに関する「最後のメッセージを繰り返す」のエントリを認識することができます。
プロトコル、サービス、およびホスト名のための統合レゾルバ。
WHOISデータベース内の検索を行うことができます。
自身のDNSとWHOIS情報キャッシュと高速検索のためのGNU ADNSサポート。
必要に応じて、ホスト、ネットワーク、ポート、チェーンや枝(ターゲット)は、選択または除外することができます。
(英語、ドイツ語、ポルトガル語、簡体字中国語、繁体字中国語、スウェーデン語と日本語で利用可能)国際化のサポート。
概略モードをログ:
接続の試みに関連するパターンを検索し、表示するためのオプションがたくさん。
特定のフィールドのインテリジェント選択(例えば、ホスト名の列が省略され、ログが単一のホストからのものである場合、ホストは、要約のヘッダーに記載されている、同じことはチェーン、ターゲットとのインタフェースで発生)。
制限およびソートオプションを使用して、プレーン·テキストまたはHTML(W3C XHTML 1.1インラインで、またはリンクされたCSSレベル2)として出力されます。
電子メールで要約を送信することができます。
統合されたレポートジェネレータはを埋め、攻撃サイトやコンピュータ緊急対応チーム(本命)の連絡先を悪用するために送信することができるレポートを提供します。
テンプレートおよびインシデント番号の生成をサポートしています。
すべてのフィールドは対話的に、必要に応じて調整することができます。
リアルタイム応答モード:
プログラムは切り離し、デーモンとしてバックグラウンドのままになります。
ログで必要なルールのIPCHAINSのセットアップ検出のために構成することができますオン。
上の番組開始から最新の状態情報を提供するために、既存のエントリを読んで追いつくことができます。
応答は、(ログファイルエントリの形式で、電子メール、リモートポップアップサービスメッセージやシェルスクリプトに入れることができます何でも)通知、またはカスタマイズファイアウォール変更することができます。
含まれる応答スクリプトは、新しいファイアウォールルールでブロックされているのipchainsやnetfilterのセットアップと攻撃者にfwlogwatchための新しいチェーンを追加します。
信頼できるホスト(アンチスプーフィング)をサポートしています。
プログラムの現在の状態が続くと、Webインタフェース(IPv6をサポートしている)を介して制御することができます。
このリリースで新しい何が:
このバージョンはnetfilterの、DNSキャッシュの初期化、およびASAパーサー拡張機能のIPv6のサポートが追加されます。
コメントが見つかりません