Gracias a esta entrada de Xavi en su blog, he dado con una herramienta que hacía tiempo que necesitaba y que no terminaba de encontrar, para el análisis de los logs de ipfw e ipfilter para OpenBSD.
fwlogwatch es una herramienta con tres funciones fundamentales: filtro de paquetes, firewall y analizador de logs procedentes de sistemas de detección de intrusiones. La gran ventaja es que soporta un montón de formatos de logs estándar que producen otras tantas aplicaciones. Una de las múltiples ventajas de la estandarización y de la no utilización de inútiles formatos propietarios.
fwlogwatch puede ofrecer también respuestas en tiempo real y ayudarnos a la documentación de incidencias del sistema. Para usuarios menos hábiles, tiene un frontal Web de utilización muy ameno, así como posibilidad de internacionalización.
Los formatos de log soportados son Linux ipchains, Linux netfilter/iptables, Solaris/BSD/Irix/HP-UX ipfilter, BSD ipfw, Cisco IOS, Cisco PIX / FWSM, NetScreen, Elsa Lancom router, Snort IDS y hasta los logs del firewall de Windows XP.
Las descargas, documentación y todo lo que nos pueda hacer falta está en la página del autor.
Esta magnífica herramienta está escrita por Boris Wesslowski, en un trabajo que originalmente se enfocó para respuesta ante incidentes en el RUS-CERT.
Muy interesante, Sergio. A ver si saco un hueco y le echo un vistazo.
PD: Por cierto, ¿registro de eventos del cortafuegos de Windows XP? Pero, ¿ese juguete es capaz de generar siquiera un registro de eventos? ;-)
Felipe,
Es lo que dice el autor :P lo mismo el firewall de cascarilla ese genera registros, vaya usté a saber :)
De todos modos, va a ser que no voy a comprobarlo }:-)