Sagan은 syslog 모니터링 시스템이다. Sagan은 실시간으로 syslog에서 주의를 요구하는 이벤트가 발생할 경우 사용자에게 경보한다. Sagan은 멀티-쓰레드, 실시간 이벤트-로그 모니터링 시스템이다. Sagan은 네트워크와 컴퓨터 시스템에서 발생하는 로그들을 분석할 수 있는데, 이때 룰을 분석하는 방법론으로써 "Snort" 룰과 동일한/유사한 룰을 사용하여, 악성패턴을 탐지하는데 사용한다. 만일, Sagan이 악성패턴을 탐지하면, 이때 발생한 이벤트를 snort database(MySQL/PorstgreSQL)에 저장하고, Sagan은 이를 Sort IDS/IPS에서 발생한 이벤트와 상관분석한다. 즉, 일반 로그(이종, heterogeneous format)에서 특정 패턴을 스노트의 탐지 규..
Sagan은 로그 분석 및 상관분석 엔진중 하나인데, 개략적인 개요는 다음과 같다.유닉스계열 지원 - Linux/FreeBSD/OpenBSD/etcOpenSource멀티쓰레드 고성능 로그 이벤트 분석소프트웨어 구조 및 룰의 엔진방식이 snort와 유사함이는 의도적으로 snort의 부가적인 관리 도구들을 그대로 사용하기 위해서였음oinkmaster/pulledpork/etc : 스노트 부가/관리도구로그와 snort로그를 상관분석Unified2/Barnyard2 또는 direct SQL access - 로그 저장 포맷snort의 콘솔을 지원 : Snorby (http://www.snorby.org), Sguil (http://sguil.sourceforge.net), BASE, Prelude IDS fram..