Prelude LML

Prelude-LML é um analisador de log baseado em assinaturas monitorando seu arquivo de log e recebeu mensagens syslog por atividade suspeita.
É lidar com os eventos gerados por um grande conjunto de componentes, incluindo, mas não limitados a: APC Emu, BigIP, Cisco PIX, Clamav, Dell-OM, Grsecurity, Honeyd, ipchains, Netfilter, ipfw, Nokia ipso, Apache ModSecurity, MS-SQL , Nagios, o Norton AntiVirus Corporate Edition, NTsyslog, Pam, Portsentry, Postfix, Proftpd, SSH e outros

O que é novo nesta versão:.

• Pequenas mudanças desde RC2.
• 2010-02-08, prelúdio-LML-1.0.0rc2:
• melhoria notificação arquivo: alguns casos em que a notificação de arquivo não estava funcionando adequadamente foram corrigidos. Melhorar o tratamento de remoção de arquivo (optionaly seguido por evento de criação de arquivo).
• Houve vários casos em que o código anterior iria maltratar os metadados gravação / verificação. Todos os problemas conhecidos são fixos.
• Não houve monitoramento de entrada padrão, tudo foi lida uma vez em cima de início e outra entrada foi ignorado.
• Corrigir possível truncamento de log despachado, quando a corda contida múltiplos terminador nul. Corrige uma regressão da LML 1.0.0rc1.
• Estatísticas estavam faltando para a entrada de servidor UDP.
• eventos menores que relataram melhorias e correções de bugs.
• Melhorar a grande manipulação de arquivos.
• 2010-01-29, prelúdio-LML-1.0.0rc1:
• Suporte para codificação de caracteres e conversão para UTF-8. O usuário pode especificar uma codificação de caracteres diferente para cada arquivo.
• A detecção automática conjunto de caracteres se nenhum for especificado pelo usuário, a aplicação tentará detectar o conjunto de caracteres usado para um determinado arquivo. No caso da detecção de falha, o padrão do sistema será usado.
• Log entrada agora são convertidos para UTF-8 antes do processamento. Isso corrige um problema onde o usuário poderia ver caracteres incorretos em alerta relatado, uma vez que eles estavam carregando os dados que poderiam envolver o conjunto de caracteres differents.
• Incluir Snare conjunto de regras, cortesia de Nicholas Nachefski.
• [ModSecurity]:. Os eventos gerados estavam faltando algumas informações AdditionalData
• [NetFilters]:. Compatibilidade do conjunto de regras Ulogd, várias melhorias
• Várias correções de bugs.

O que é novo na versão 0.9.14:

• Esta versão corrige um possível erro de permissão que poderia acontecer quando um determinado arquivo de log só era acessível através de uma permissão específica do grupo.
• O conjunto de regras ModSecurity agora fornece texto de classificação muito mais descritivo, acrescenta regexps para [arquivo ..], [linha ...] e [...] tag campos, e finetunes metas / tipos.
• Gamin apoio / FAM foi preterido em favor de libev, corrigindo um problema SELinux.
• A arquitetura de votação foi melhorado por meio de um específico do sistema backend operacional quando possível.
• Esta versão monitora arquivos que não estão imediatamente disponíveis para leitura na inicialização.
• Uma vez que o arquivo pode ser monitorado, libev fornece notificação.