Es una herramienta para visualizar los logs en realtime, ademas usa una serie de reglas (como snort) para detectar anomalias en la red.
Los registros pueden ser visualizados a traves del front end de Snort como puede ser BASE o Snorby, en mi caso use BASE.
Aqui los pasos para tener el Sagan funcionando en Debian
Necesitamos el paquete PCRE
apt-get install libpcre3-dev libpcre3
Paquetes opcionales:
Si deseas recibir alertas en tu correo
apt-get install libesmtp-dev
Si deseas guardar la info en una base de datos mysql
apt-get install libmysqlclient15-dev
Si deseas usar postgresql
apt-get install postgresql-server-dev-8.4
en mi caso opte por usar libesmtp y mysql como BD entonces:
descargamos el sagan http://sagan.softwink.com/download
La version actual es la 0.1.4 el cual corrige una serie de bugs de la version anterior.
Compilamos e instalamos
debian:/usr/local/src/sagan-0.1.4# ./configure --disable-postgresql
Todo bien hasta el momento ahora sigue la configuracion del syslog-ng, si no lo tenenmos lo instalmos de los repositorios
apt-get install syslog-ng
Ahora sagan tiene dos formas de tratar los datos entrantes, por medio de FIFO o program mode:
- FIFO (First In/First Out),
Syslog-ng envia los eventos al archivo /var/run/sagan.fifo, de este modo Sagan logra leer este archivo.
Para ello se debe crear el archivo
mkfifo /var/run/sagan.fifo
ls -l /var/run/sagan.fifo
prw------- 1 root root 0 jul 29 15:12 /var/run/sagan.fifo
Debemos modificar el syslog-nd.conf, y añadir las lineas correspondientes segun el archivo ejemplo de la pagina de sagan http://sagan.softwink.com/syslog-ng-fifo.txt
- Program mode
significa que Sagan tomara los eventos via standard input (stdin)
Igualmente reemplazamos el archivo syslog-ng.conf o usamos el dado por la pagina del autor
http://sagan.softwink.com/syslog-ng-program.txt
En mi caso escogo el modo FIFO y renombro el syslog-ng.conf que viene por default y uso el archivo ejemplo syslog-ng.conf de la pagina sagan.
Ahora vamos a modificar el archivo de configuracion sagan.conf, que debe estar en
/usr/local/etc/sagan.conf
Modificamos
sagan_host 192.168.0.2 --> poner la ip de la PC
Si deseamos loggearnos a una base de datos snort;
# [Required if logging to a Snort database]
; sagan_hostname sagan
; sagan_interface syslog
; sagan_filter none
; sagan_detail 1
; maxdb_threads 50
; output database: log, mysql, user=sagan password=secret dbname=snort_db host=192.168.0.1
Para poder usar las reglas dadas por sagan hay que descargarlo de:
http://sagan.softwink.com/rules/sagan-rules-current.tar.gz
Y copiamos los archivos a la ruta definida por la variable $RULE_PATH
var RULE_PATH /usr/local/etc/sagan-rules
Creamos la carpeta sagan-rules y copiamos los archivos *.rules ahi
Creamos el usuario sagan luego, lo hacemos propietario de los archivo con el comando chown
debian:~# chown -R sagan.sagan /var/log/sagan
debian:~# chown -R sagan.sagan /var/run/sagan
debian:~# chown -R sagan.sagan /var/run/sagan.fifo
Ejecutamos sagan
debian#/usr/local/bin/sagan
Generamos una entrada para ver que se introducen datos en el archivo
/var/log/sagan/alert sino esta lo creamos y le damos permiso
chown -R sagan.sagan /var/log/sagan/alert
chown -R sagan.sagan /var/run/sagan.fifo
En el prompt digitamos:
debian#logger " corrupt "
Ahora vemos la info generada en el archivo alert
debian:/var/run# tail /var/log/sagan/alert
[**] [5000114] [SYSLOG] Possible unknown problem on a system [**]
[Classification: program-error] [Priority: 2]
2010-07-29 19:15:35 192.168.0.2:514 -> 192.168.0.2:514 user notice
debian:/var/run#
Vamos a la base de datos, vemos info en el campo last_cid,
Ahora vamos al BASE y veremos que ahora dice en sensors 2/2
Los datos estan siendo registrados y los eventos mostrados en el front end BASE.
Saludos
Fuente: http://sagan.softwink.com/
http://www.danielclemente.com/linux/trucos.html
http://www.cyberciti.biz/tips/howto-linux-unix-write-to-syslog.html
Las gracias al autor Beave quien me ayudo en la configuracion del sagan
My special congrats to Beave thanks to you I setup sagan, I really apreciated you help, you are always welcome you have my mail.
