Sagan هو خيار مجاني آخر يستخدم استراتيجيات الكشف القائمة على الشذوذ والتوقيع ، وهو قابل للتخصيص ويسمح لك بتحديد الإجراءات التلقائية التي يجب أن يتخذها التطبيق عند تشغيل طوارئ التطفل.
Sagan هو محرك مفتوح المصدر تحت رخصة (GNU GPL v2) متعدد الخيوط وعالي الأداء وتحليل السجل والارتباط في الوقت الفعلي تم تطويره بواسطة Quadrant Information Security.
Sagan مكتوب بلغة C ويستخدم بنية متعددة الخيوط لتقديم تحليل عالي الأداء وسجل الأحداث ، وتعمل بنية Sagan وقواعدها بشكل مشابه لمحرك Sourcefire Snort IDS / IPS.
تمت تطوير وكتابة Sagan للتكامل بسهولة مع Snort ، NIDS ، وعندما يقترن معًا ، ينشئون مجموعة قوية ومفتوحة المصدر HIDS و NIDS ، ويسمح بالتوافق مع برامج إدارة قواعد Snort أو Suricata ويمنح القدرة على الارتباط ببيانات Snort IDS / IPS.
يحتوي على عدد من الأدوات التي لا توفرها HIDSs الأخرى ، بما في ذلك ميزة تحديد الموقع الجغرافي IP لإنشاء تنبيهات إذا ظهر نشاط من عناوين IP متعددة ينبع من نفس الموقع الجغرافي ، كما انه يسمح أيضًا بتنفيذ البرنامج النصي ، مما يعني أنه يمكن أن يعمل مثل IPS.
بينما لا يمكن تثبيت Sagan إلا على أنظمة تشغيل GNU/Linux و Unix و Mac ، إلا أنه لا يزال بإمكانه جمع رسائل سجل أحداث Windows ، وهو خيار خفيف نسبيًا ولن يفرض حموله كبيرة على وحدة المعالجة المركزية لخادمك.