https://opennet.ru/openforum/vsluhforumID3/68225.html Компания Softwink анонсировала (http://seclists.org/fulldisclosure/2010/Jun/552) выпуск Sagan 0.1.0 (http://sagan.softwink.com/), многопоточной системы мониторинга системных журналов и событий. Программа использует наборы правил сигнатур, подобные правилам Snort, для определения нежелательных событий, происходящих в локальной сети и с обслуживаемыми системами. Если Sagan обнаруживает подобные нежелательные события, то они могут сохраняться в единой базе данных системы обнаружения атак (MySQL/PostgreSQL) для сопоставления с соответствующими событиями Snort. Предполагается, что Sagan используется как централизованная система обработки системных журналов, но при необходимости он может быть использован и для мониторинга отдельных рабочих станций.<br><br><br>Sagan имеет высокую скорость работы: он написан на Си и является многопоточным приложением. Многопоточность используется с целью избежания блокировки ввода-вывода. Таким образом, обработка данных не прерывается в то время, когда, например, нео...<br><br>URL: http://seclist https://opennet.ru/openforum/vsluhforumID3/68225.html#11 Tue, 29 Jun 2010 13:47:08 GMT Собрал с поддержкой MySQL, чет както он каряво в базу от Snort'a кладет данные, время эвента не ставит, и адреса корявит! Похоже сырое еще тварение!<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#10 Mon, 28 Jun 2010 10:11:52 GMT Дык в том-то и смысл --- в сиквел ляжет уже только то, что "интересно" согласно рулсетам, а не весь типа "мусор" из типических таких 40гигов...<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#9 Mon, 28 Jun 2010 03:32:55 GMT Сам Sagan может и быстрый и многопоточный, но вот млин помню когда складывал все логи в MySQL от 15 серверов база за пол года выростала до 40 гигов, выборака простого SELECT из такой базы занимал 1,5-2 минуты. Так что не правильно для логов использовать MySQL<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#7 Fri, 25 Jun 2010 18:34:45 GMT Скачал, установил, если кто будет повторять сей экскримент, маленькое замечание, которого нет в вики на сайте разработчика. необходимо установить владельца sagan на каталог /var/run/sagan/ иначе файлик /var/run/sagan/sagan.pid невозможно будет создать и программа будет завершаться ошибкой.<br>команда для установления владельца обычная: sudo chown -R sagan /var/run/sagan/<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#6 Fri, 25 Jun 2010 16:21:20 GMT Добавим в закладки<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#5 Fri, 25 Jun 2010 14:21:10 GMT "You just go beyond the instructions. Actually, better if there are none."<br><br>"Manuals can deceive you, don't trust them, stretch out with your feelings, Luke."<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#4 Fri, 25 Jun 2010 12:38:18 GMT README 0kb<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#3 Fri, 25 Jun 2010 11:25:29 GMT Как оно сравнимо, скажем, с Tenshi? Или я не так понял назначение?<br> https://opennet.ru/openforum/vsluhforumID3/68225.html#2 Fri, 25 Jun 2010 11:04:25 GMT Только ссылочку бы добавить на оригинал:<br>http://sagan.softwink.com/<br>