fwlogwatch是一个数据包过滤器/防火墙/ IDS日志RUS-CERT写鲍里斯Wesslowski最初分析仪。
fwlogwatch支持大量的日志格式,有许多分析选项。它还具有事故报告和实时响应能力,交互式Web界面和国际
功能:
- <李类=“bbli” >可检测并以下格式的过程日志条目:
- 的Linux的ipchains
- 的Linux的netfilter / iptables的
- 的Solaris / BSD / Irix的/ HP-UX IPFILTER
- BSD的ipfw
- 在思科IOS
- 在思科PIX / FWSM
- 的NetScreen
- 在Windows XP中的防火墙
- 艾尔莎LANCOM路由器
- 的Snort IDS
- 条目可以从单个,多个和组合的日志文件进行解析,将要使用的解析器可以被选择。
- gzip压缩日志透明支持。
- 可以单独从最近的旧条目和检测日志文件timewarps。
- 能认出'最后一条消息重复“项关于防火墙。
- 综合解析的协议,服务和主机名。
- 能做到查找在Whois数据库。
- 在自己的DNS和whois信息高速缓存和GNU ADNS支持更快的查找。
- 主机,网络,港口,连锁店和分支机构(目标)可以选择或根据需要排除。
- 支持国际化(英语,德语,葡萄牙语,简体和繁体中国,瑞典和日本提供)。
- 在很多的选择,以查找和连接尝试显示相关模式。
- 智能选择某些领域(如主机名列被省略,并在总结的标题中提到,如果日志是从一台主机的主机,同样的情况用铁链,目标和接口)。
- 在输出为纯文本或HTML(W3C XHTML 1.1直列或链接CSS级别2)限制和排序选项。
- 可以通过电子邮件发送的摘要。
- 综合报告生成填写并提供可发送给攻击滥用网站或计算机应急响应小组(CERT)的联系人的报告。
- 支持模板和事件数的生成。
- 在所有字段可以调整为交互需要。
- 程序分离,并保持在后台作为守护。
- 有关ipchains的设置检测与记录必要的规则打开可以进行配置。
- 能赶上读书现有条目提供了最新的状态,从节目的信息开始。
- 响应可以是通知(在日志文件条目,电子邮件,远程WinPopup消息,或任何你可以放到一个shell脚本的形式),或自定义的防火墙修改。
- 的响应包括脚本增加了一个新的链fwlogwatch到的ipchains或netfilter的设置和攻击者阻止新的防火墙规则。
- 支持可信主机(反欺骗)。
- 程序的当前状态可以遵循,并通过网络接口控制(支持IPv6)。
<李班=“bbli”>日志汇总方式:
<李班=“bbli”>实时响应方式:
什么在此版本中是新的:
- 在该版本增加了对netfilter的IPv6的支持,DNS缓存初始化,和ASA解析器扩展。
评论没有发现