The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Первый релиз системы мониторинга системных журналов Sagan 0.1.0

25.06.2010 12:08

Компания Softwink анонсировала выпуск Sagan 0.1.0, многопоточной системы мониторинга системных журналов и событий. Программа использует наборы правил сигнатур, подобные правилам Snort, для определения нежелательных событий, происходящих в локальной сети и с обслуживаемыми системами. Если Sagan обнаруживает подобные нежелательные события, то они могут сохраняться в единой базе данных системы обнаружения атак (MySQL/PostgreSQL) для сопоставления с соответствующими событиями Snort. Предполагается, что Sagan используется как централизованная система обработки системных журналов, но при необходимости он может быть использован и для мониторинга отдельных рабочих станций.

Sagan имеет высокую скорость работы: он написан на Си и является многопоточным приложением. Многопоточность используется с целью избежания блокировки ввода-вывода. Таким образом, обработка данных не прерывается в то время, когда, например, необходимо послать SQL-запрос, и достигается большая эффективность работы с процессорной мощностью и памятью системы.

Sagan использует наборы правил сигнатур, подобные используемым в Snort и совместим с утилитами управления правилами, такими, как "oinkmaster". Sagan может использовать базу Snort для записи своих событий, являясь отдельным сенсором для Snort и интегрируясь во все доступные пользовательские интерфейсы Snort, например BASE, для того, в которых теперь можно видеть ещё и системные журналы.

В то же время, Sagan может работать и без Snort, используя вывод в различные поддерживаемые форматы, такие как стандартный формат журнала (подобный Snort), оповещение по e-mail (с использованием libesmtp), поддерживается использование Logzilla и любых внешних программ, которые можно разработать на любом языке программирования (Perl/Python/C/и др.).

Другие возможности:

  • Sagan достаточно просто установить и настроить в соответствии с предпочтениями по функциональности. Традиционный способ "./configure && make && make install" работает в большинстве случаев.
  • Поддерживается установка порогов оповещений в формате правил сигнатур Snort.
  • Система старается определить IP-адреса, порты и информацию о протоколе по правилу сигнатуры, которое вызвало событие, с тем, чтобы было проще соотнести несколько событий друг с другом.
  • Система может быть использована для мониторинга практически любого типа оборудования и систем (маршрутизаторов, межсетевых экранов, управляемых коммутаторов, систем обнаружения и предотвращения вторжений, Unix/Linux систем, журналов событий Windows, и многих других).
  • Поддерживаются пользовательские интерфейсы Snort, такие как BASE, Snortby, коммерческие консоли интерфейсов, различные системы подготовки отчётов, основанные на Snort.
  • Sagan - программное обеспечение с открытым исходным кодом и распространяется по лицензии GNU/GPL версии 2.

Исходные тексты Sagan распространяются в рамках лицензии GPLv2 и активно разрабатывается компанией Softwink, Inc., которая поддерживает разработку исходного кода и правил сигнатур. Компания разработчик сама использует Sagan в своей сети для круглосуточного мониторинга событий системных журналов, связанных с безопасностью.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
Автор новости: Роман Горшунов
Тип: Программы
Короткая ссылка: https://opennet.ru/27094-snort
Ключевые слова: snort, monitoring, security, Sagan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:29, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это может быть интересно
     
  • 1.2, iCat (ok), 15:04, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только ссылочку бы добавить на оригинал:
    http://sagan.softwink.com/
     
  • 1.3, Аноним (-), 15:25, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как оно сравнимо, скажем, с Tenshi? Или я не так понял назначение?
     
  • 1.4, Maxim Filatov (?), 16:38, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    README 0kb
     
     
  • 2.5, StrangeAttractor (ok), 18:21, 25/06/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "You just go beyond the instructions. Actually, better if there are none."

    "Manuals can deceive you, don't trust them, stretch out with your feelings, Luke."

     

  • 1.6, chemtech (ok), 20:21, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добавим в закладки
     
  • 1.7, chaihana (?), 22:34, 25/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скачал, установил, если кто будет повторять сей экскримент, маленькое замечание, которого нет в вики на сайте разработчика. необходимо установить владельца sagan на каталог /var/run/sagan/ иначе файлик /var/run/sagan/sagan.pid невозможно будет создать и программа будет завершаться ошибкой.
    команда для установления владельца обычная: sudo chown -R sagan /var/run/sagan/
     
  • 1.9, zedis (?), 07:32, 28/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сам Sagan может и быстрый и многопоточный, но вот млин помню когда складывал все логи в MySQL от 15 серверов база за пол года выростала до 40 гигов, выборака простого SELECT из такой базы занимал 1,5-2 минуты. Так что не правильно для логов использовать MySQL
     
     
  • 2.10, Вася (??), 14:11, 28/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Дык в том-то и смысл --- в сиквел ляжет уже только то, что "интересно" согласно рулсетам, а не весь типа "мусор" из типических таких 40гигов...
     

  • 1.11, Аноним (-), 17:47, 29/06/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собрал с поддержкой MySQL, чет както он каряво в базу от Snort'a кладет данные, время эвента не ставит, и адреса корявит! Похоже сырое еще тварение!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру