Cerams, ka jūsu datori tiek ielādēti un atjaunināti, un jūsu tīkls ir drošs. Tomēr tas ir diezgan neizbēgami, ka jūs kaut kādā brīdī tiksies ar ļaunprātīgām darbībām - vīrusu, tārpu, Trojas zirgu, hack attack vai citādi. Kad tas notiks, ja pirms uzbrukuma esat pabeidzis pareizās lietas, jūs veicat darbu, lai noteiktu, kad un kā uzbrukums notika daudz vieglāk.
Ja jūs kādreiz esat skatījies TV pārraidi "CSI" vai vienkārši par jebkuru citu policijas vai likumīgu TV pārraidi, jūs zināt, ka pat ar visplašāko tiesu ekspertīzes pierādījumu, izmeklētāji var identificēt, izsekot un noķert noziedzīgā nodarījuma izdarītāju.
Bet vai tas nebūtu jauki, ja viņiem nebūtu jāšķijas šķiedras, lai atrastu vienu matu, kas faktiski pieder pie vainīgā, un veic DNS testēšanu, lai identificētu tā īpašnieku? Ko darīt, ja katram cilvēkam tiktu uzrakstīts ieraksts par to, ar kuru viņi sazinājās un kad? Ko darīt, ja tiktu saglabāts ieraksts par to, kas tika darīts ar šo personu?
Ja tas tā būtu, pētnieki, piemēram, tie, kuri atrodas "CSI", varētu būt nesaistīti. Policija atradīs ķermeni, pārbaudīs ierakstu, lai redzētu, kas pēdējā nonāca saskarē ar mirušo, un kas tika darīts, un viņiem jau būtu identitāte, kam nav jāraida. Tas ir tas, ko mežizstrāde nodrošina, sniedzot kriminālistikas pierādījumus, ja jūsu datorā vai tīklā ir ļaunprātīgas darbības.
Ja tīkla administrators neieslēdz ierakstīšanu vai neiespējo reģistrēt pareizos notikumus, tiesu medicīnas pierādījumu sagriešana, lai identificētu neautorizētas piekļuves laiku vai datumu vai metodi vai citas ļaunprātīgas darbības, var būt tikpat grūti, kā atrast proverbālo adatu siena kaudze Bieži vien uzbrukuma galvenais cēlonis nekad nav atklāts. Datorurķēžu vai inficēto ierīču tīrīšana un ikviens atgriežas biznesā, kā parasti, bez patiesas zināšanas par to, vai sistēmas ir aizsargātas labāk nekā tās, kad tās ieguva pirmo reizi.
Dažas programmas ieraksta lietas pēc noklusējuma. Tīmekļa serveri, piemēram, IIS un Apache, parasti reģistrē ienākošo datplūsmu. To galvenokārt izmanto, lai redzētu, cik daudz cilvēku apmeklēja vietni, kādu IP adresi viņi izmantoja un citu metrikas tipa informāciju par šo vietni. Bet tārpu gadījumā, piemēram, CodeRed vai Nimda, tīmekļlogi var arī parādīt, kad inficētās sistēmas mēģina piekļūt jūsu sistēmai, jo tām ir noteiktas komandas, kuras mēģina rādīt žurnālos, vai tie ir veiksmīgi, vai ne.
Dažām sistēmām ir iebūvētas dažādas revīzijas un mežizstrādes funkcijas. Varat arī instalēt papildu programmatūru, lai datorā uzraudzītu un reģistrētu dažādas darbības (sk. Rīki saites lodziņā pa labi no šī raksta). Uz sistēmas Windows XP Professional ir iespējas pārbaudīt konta pieteikšanās notikumus, konta pārvaldību, direktoriju pakalpojumu piekļuvi, pieteikšanās notikumus, objektu piekļuvi, politikas maiņu, piekļuvi privileģijām, procesa izsekošanu un sistēmas notikumus.
Katram no šiem veidiem varat izvēlēties reģistrēt panākumus, neveiksmes vai neko. Piemēram, ja lietojat Windows XP Pro, ja neesat iespējojis nevienu pieeju objektu piekļūšanai, jums nebūtu jāuzskaita, kad visbeidzot bija pieejams fails vai mape. Ja esat iespējojis tikai neveiksmi, jums būtu jāreģistrējas, kad kāds mēģināja piekļūt failam vai mapei, bet neizdevās, jo tam nebija pareizi atļaujas vai atļaujas, bet jums nebūtu ieraksta, kad pilnvarots lietotājs piekļūst failam vai mapei .
Tā kā hacker var ļoti labi izmantot krekinga lietotājvārdu un paroli, viņi var veiksmīgi piekļūt failiem. Ja jūs aplūkojat žurnālus un redzat, ka Bobs Smits svītro uzņēmuma finanšu pārskatu plkst. 3.00 svētdien, droši varētu uzskatīt, ka Bobs Smits gulēja un ka, iespējams, viņa lietotājvārds un parole ir apdraudēti. Jebkurā gadījumā jūs tagad zināt, kas noticis ar failu un kad tas dod jums sākumpunktu, lai noskaidrotu, kā tas noticis.
Gan neveiksmīga, gan veiksmīga mežizstrāde var sniegt noderīgu informāciju un pavedienus, taču jums ir jāsalīdzina monitoringa un mežizstrādes darbības ar sistēmas veiktspēju. Izmantojot cilvēku grāmatas piemēru no augšas, tas palīdzētu izmeklētājiem, ja cilvēki glabā žurnālu par visiem tiem, ar kuriem viņi saskaras, un par to, kas notika mijiedarbības laikā, taču tas noteikti palēninātu cilvēku darbību.
Ja tev vajadzēja apstāties un pierakstīt, kas un kādā laikā un kādā laikā katrai tikšanās reizei visai dienai var būtiski ietekmēt produktivitāti. Tas pats attiecas uz datora darbības uzraudzību un reģistrēšanu. Varat iespējot visas iespējamās neveiksmes un panākumu reģistrēšanas iespējas, un jums būs ļoti detalizēts ieraksts par visu, kas notiek jūsu datorā. Tomēr jūs būtiski ietekmēsiet veiktspēju, jo procesors būs aizņemts reģistrēt 100 dažādus ierakstus žurnālos ikreiz, kad kāds nospiež pogu vai noklikšķina uz peles.
Jums ir jāizvērtē, kāda veida mežizstrāde būtu labvēlīga ietekmei uz sistēmas veiktspēju un radītu līdzsvaru, kas jums vislabāk būtu. Jums jāpatur prātā arī tas, ka daudzi hakeru rīki un Trojas zirgu programmas, piemēram, Sub7, ietver utilītus, kas ļauj viņiem mainīt žurnāla failus, lai slēptu viņu darbības un paslēptu ielaušanos, tāpēc jūs nevarat 100% izmantot žurnāla failus.
Jūs varat izvairīties no dažiem veiktspējas problēmām un, iespējams, hakeru rīku slēpšanas problēmām, ņemot vērā noteiktas lietas, kad iestatāt savu mežizstrādi. Jums ir jānovērtē, cik lieli log faili tiks iegūti, un vispirms pārliecinieties, ka vispirms ir pietiekami daudz vietas diskā.Jums ir arī jāiestata politika, vai vecie žurnāli tiks pārrakstīti vai izdzēsti, vai arī vēlaties arhivēt žurnālus ikdienā, iknedēļas vai citā periodiskā veidā, lai arī jums būtu vecāki dati, kas arī atgriezīsies.
Ja ir iespējams izmantot īpašu cieto disku un / vai cietā diska kontrolleri, jums būs mazāka veiktspējas ietekme, jo žurnāla failus var ierakstīt diskā, bez cīņas ar lietojumprogrammām, kuras jūs mēģināt palaist, lai piekļūtu diskam. Ja jūs varat novirzīt žurnāla failus uz atsevišķu datoru, iespējams, veltīts žurnālu failu glabāšanai un pilnīgi atšķirīgiem drošības iestatījumiem, iespējams, ka jūs varētu bloķēt iebrucēja spēju mainīt vai dzēst arī žurnāla failus.
Pēdējā piezīme ir tāda, ka pirms apskatītu žurnālus jums nevajadzētu gaidīt, kamēr nav par vēlu, un jūsu sistēma jau ir nobloķēta vai apdraudēta. Vislabāk ir periodiski pārskatīt žurnālus, lai jūs varētu uzzināt, kas ir normāls, un noteikt bāzes līniju. Tādā veidā, kad jūs saskaraties ar kļūdainiem ierakstiem, jūs tos varat atpazīt kā tādus un veikt proaktīvas darbības, lai padarītu jūsu sistēmu grūtāku, nevis darot tiesu izmeklēšanu pēc pārāk vēlu.
