manager-addr = x.x.x.x:port || y.y.y.y && z.z.z.z

При этом сенсор попытается соединиться сначала с менеджером x.x.x.x:port, если это не получится, то с y.y.y.y и z.z.z.z, а если и эта попытка не увенчается успехом, то данные будут сохранены локально. Для lml-сенсора вce правила находятся /usr/local/etc/prelude-lml/ruleset/, узнать, какие из них задействованы, можно в файле simple.rules в строках include. Для ускорения работы можно закомментировать лишние, а новые, скачанные по ссылкам, здесь же подключить (например, от Exaprobe http://www.exaprobe.com/labs/downloads), второй вариант создать свой файл с правилами и прописать его в prelude-lml.conf в блоке [SimpleMod] в строке ruleset, указав на новый файл с правилами. Аналогично все правила для nids-сенсора прописаны в /usr/local/etc/prelude-nids/ruleset/simple.rules. Запускаем сенсоры.

# prelude-nids -i eth0

- Initialized 3 protocols plugins.

- Initialized 5 detections plugins.

pconfig.c:set_prelude_user_id:270 : (errno=No such file or directory) : couldn't find user prelude.

error processing sensor options.

Ага, забыли завести пользователя prelude. Можно по первой, при тестировании запустить от имени root (опция -u root), но в остальных случаях делаем как положено. Поэтому командой заводим пользователя prelude и при регистрации сенсоров не забываем указывать его uid.

#groupadd prelude

#adduser --no-create-home --disabled-password --quiet --ingroup prelude prelude

Пробуем еще раз.

# prelude-nids -i eth0

- Initialized 3 protocols plugins.

- Initialized 5 detections plugins.

- HttpMod subscribed for "http" protocol handling.

- Done loading Unicode table (663 Unichars, 0 ignored, 0 with errors)

- RpcMod subscribed for "rpc" protocol handling.

- TelnetMod subscribed for "telnet" protocol handling.

- ArpSpoof subscribed to : "[ARP]".

- ScanDetect subscribed to : "[TCP,UDP]".

/usr/local/etc/prelude-nids/ruleset/web-misc.rules (81) Parse error: Unknow key rawbytes