Представлен (http://seclists.org/fulldisclosure/2011/Aug/219) второй релиз проекта Sagan (http://sagan.quadrantsec.com/), в рамках которого развивается многопоточная система для мониторинга появления в логах событий, связанных с безопасностью, и реагирования на эти события в режиме реального времени. Sagan относится к категории систем управления инцидентами и событиями информационной безопасности (SEIM (http://en.wikipedia.org/wiki/SIEM) - Security Information & Log Management). Для определения заслуживающих внимания событий используя правила, похожие на правила Snort. При выявлении описанного в правилах события, вызывается специальный обработчик, который может, например, отправить уведомление ответственному персоналу, запустить внешнюю утилиту, передать событие в бэкенд Prelude или сохранить информацию об инциденте в базе данных или отдельном логе.
Sagan может быть использован и как централизованная система обработки системных журналов, и как система для мониторинга логов на отд...URL: http://seclists.org/fulldisclosure/2011/Aug/219
Новость: http://www.opennet.me/opennews/art.shtml?num=31579
кто юзал его и OSSEC, есть ли разница?
Стоял тазик безхозно - подниму-ка я на нём завтра фрю да посмотрю как этот саган справится с парсингом провайдерских натов и Л2 свичей. А потом отпишусь :)