Sagan (программное обеспечение)
Sagan — открытое программное обеспечение (лицензия GNU GPL v2), представляющее собой многопоточный высокопроизводительный движок для анализа и корреляции журналов событий в реальном времени, разработанный компанией Quadrant Information Security для работы на Unix-подобных операционных системах[1].
Общие сведения
| Sagan | |
|---|---|
| Тип | анализатор журналов |
| Автор | Champ Clark III |
| Разработчик | Quadrant Information Security |
| Написана на | Си (язык программирования) |
| Операционные системы | Unix-подобные |
| Языки интерфейса | английский |
| Последняя версия | 2.0.1 (8 февраля 2021) |
| Лицензия | GNU GPL v2 |
| Сайт | quadrantsec.com/sagan_lo… |
Разработка
Программа написана на языке Cи и благодаря многопоточной архитектуре обеспечивает высокоскоростную обработку журналов и событий. Структура правил Sagan схожа с движком IDS/IPS Snort от Sourcefire, что обеспечивает совместимость с программным обеспечением для управления правилами Snort и Suricata, а также позволяет коррелировать данные с IDS/IPS Snort.
Sagan поддерживает различные форматы вывода для генерации отчётов и анализа, нормализацию журналов, запуск пользовательских скриптов при обнаружении событий, обнаружение и оповещение на основе GeoIP, а также чувствительные ко времени предупреждения.