RUS-CERT - fwlogwatch
indexへfwlogwatchとは?
ファイアウォール,パケットフィルターなどの設定をすると,記録(ログ)がたくさん出てきます。一通り全部見る必要があるのですが,平常業務中にそれらを見ることはほとんど不可能かと思います。最近では,各種OSにパケットフィルターやIDS(Intrusion Detection System)を設置する例が多くなり,そのログもたくさん出てきます。そこで,このログを要約にまとめてくれるツールが, fwlogwatchです。
fwlogwatchは,つぎのような特徴を持っています。
- 一般的な特徴
- 次のフォーマットでのログエントリを検出・処理できます:
Linux ipchains, Linux netfilter/iptables, Solaris/BSD/Irix/HP-UX ipfilter, Cisco IOS, Cisco PIX, Windows XP firewall.- 混ざったログファイルに入っているエントリの構文解析をすることができ,使用する構文解析プログラムを選択することができます。
- gzipで圧縮したログファイルをサポートしています。
- 古いエントリから最近のものを分離でき,ログファイルの時間超越を検出することができます。
- ファイアウォールに関する 'last message repeated' エントリを認識することができます。
- 統合されたプロトコル,サービス,ホスト名の解決器を持っています。
- Whoisデータベースを検索することができます。
- 高速な検索のために自分自身で DNS と Whois 情報キャッシュを持っています。
- 必要なら,ホスト,ポート,チェイン,ブランチ(ターゲット)を選択したり,除外することができます。
- 国際化をサポートしています。(現在,英語,ドイツ語,ポルトガル語,簡体中国語,繁体中国語,スウェーデン語が利用可能)
- ログ要約モード
- 接続の試みの中の適切なパターンを見つけて表示するためのたくさんのオプションがあります。
- あるフィールドの高度な選択をすることができます。(たとえば,そのログが単一のホストから来たもので,ホスト名のカラムを省略して要約のヘッダで言及する。同様にチェイン,ターゲットとインターフェイスでも起きます。)
- 多くの並べ変えオプションを持った平文テキストとHTML出力
- 対話レポートモード
- 統合されたレポート生成器が攻撃サイトの対応関係者やコンピュータ・エマージェンシー・レスポンス・チーム(CERTs)へ送信できるレポートを記入し,提出することができます。
- テンプレートとインシデント番号の生成をサポートしています。
- 必要なら,対話的にすべてのフィールドを調整することができます。
- 実時間対応モード
- プログラムは切り離して daemon としてバックグラウンドに置くことができます。
- ログ機能を入れて必要な ipchains ルールを検出するように設定することができます。
- 通知(ログファイルエントリの形式,電子メール,リモートの winpopup メッセージ,シェルスクリプトに置きたい何か)や,ファイアウォールの変更をカスタマイズするように応答することができます。
- 同梱している応答スクリプトは,fwlogwatch用の新しいチェインを ipchains や netfilter セットアップに追加し,攻撃者は新しいファイアウォールルールでブロックされます。
- 信頼の置けるホスト(反偽装)をサポートしています。
- プログラムの現在の状態を web インターフェイスを通して追跡できます。
ダウンロード
fwlogwatchのページからダウンロードしてください。メーリングリスト
現在,アナウンス用とユーザーグループ用の2つが存在しています。日本語カタログファイルja.po
標準では付いていないので,GNU patch 形式で作りました。gzipで固めてありますので,解凍してご利用ください。indexへ
最終更新日: Thursday, 07-Mar-2002 18:37:59 JST
fwlogwatch-ja.po.patch.gz
署名ファイル: fwlogwatch-ja.po.patch.gz.asc
Contact: Takashi Kobayashi
Last Modified: Sunday, 05-Nov-2006 22:55:40 JST