Remélhetőleg megőrzi a számítógépeit, frissíti és biztonságossá teszi a hálózatot. Azonban meglehetősen elkerülhetetlen, hogy valahányszor rosszindulatú tevékenységet kapsz - vírus, féreg, trójai, támadás vagy egyéb módon. Ha ez megtörténik, ha a támadást megelőzően megtette a helyes dolgokat, akkor meghatározza, hogy mikor és hogyan sikerült a támadást enyhén megkönnyíteni.
Ha valaha nézted a "CSI" tévéműsort, vagy csak egy rendőrségi vagy jogi műsorról van szó, tudod, hogy a nyomozók a leggyengébb igazságszolgáltatási bizonyítékokkal is képesek azonosítani, nyomon követni és elkapni egy bűncselekmény elkövetőjét.
De nem lenne-e kedves, ha nem kellett átszitálni a szálakat, hogy megtalálják az egyik hajat, amely valójában az elkövetőhöz tartozik, és a DNS-tesztet azonosítja a tulajdonosának? Mi lenne, ha minden egyes személynél nyilvántartást vezetnénk arról, hogy kihez lépett kapcsolatba és mikor? Mi van akkor, ha van nyilvántartás arról, hogy mi történt az illetővel?
Ha ez lenne a helyzet, akkor a "CSI" -hoz hasonlóak a nyomozók, ha nem. A rendőrség megtalálja a testet, ellenőrizze a rekordot, hogy lássa, ki volt az utolsó kapcsolatba lépett az elhunyttal, és mi történt, és máris megvan az identitás anélkül, hogy ásniuk kellene. Ez a naplózás abban áll, hogy kriminalisztikai bizonyítékot nyújt, ha rosszindulatú tevékenység van a számítógépen vagy a hálózaton.
Ha a hálózati rendszergazda nem kapcsolja be a naplózást, vagy nem jelentkezik be a helyes események, akkor az illetéktelen hozzáférés vagy más rosszindulatú tevékenység idejének és dátumának vagy módjának azonosítása érdekében felderítheti a törvényszéki bizonyítékokat, ugyanolyan nehéz lehet, mint a közmondásos tű keresése szénaboglya. Gyakran a támadás legfőbb okát soha nem fedezték fel. A megtámadott vagy fertőzött gépek megtisztulnak, és mindenki a szokásos módon tér vissza a vállalkozásba, anélkül, hogy valóban tudná, hogy a rendszereket jobban védik-e, mint azok, amikor először találtak.
Egyes alkalmazások alapértelmezés szerint naplózza a dolgokat. A webszerverek, mint például az IIS és az Apache, rendszerint naplóznak az összes bejövő forgalmat. Ez főleg arra szolgál, hogy megtekinthesse, hogy hányan látogatták meg a webhelyet, milyen IP címet használtak és a webhelyre vonatkozó egyéb mérőszám-információkat. De a CodeRed vagy Nimda férgek esetében a weblogok is megmutathatják Önt, amikor a fertőzött rendszerek próbálják elérni a rendszert, mert bizonyos parancsokkal rendelkeznek, amelyek megpróbálják megjelenni a naplókban, függetlenül attól, hogy sikeresek vagy sem.
Egyes rendszerek különböző ellenőrzési és naplózási funkciókat tartalmaznak. Beépíthet további szoftvereket a számítógép különböző műveleteinek megfigyelésére és naplózására (lásd Eszközök a cikk jobb oldalán található link mezőben). Windows XP Professional gépen lehetőség van a fiókbejelentkezés eseményeinek, a fiókkezelésnek, a címtárszolgáltatási hozzáférésnek, a bejelentkezési eseményeknek, az objektumhoz való hozzáférésnek, az irányelvek módosításának, a jogosultságok használatának, a folyamatkövetés és a rendszer eseményeinek ellenőrzésére.
Mindegyik közül kiválaszthatja a sikert, a hibát vagy semmit. Például a Windows XP Pro használatával, ha nem engedélyezte az objektumhoz való hozzáférés naplózását, akkor nem lenne nyilvántartás arról, hogy mikor volt a legutóbbi fájl vagy mappa. Ha csak a hiba naplózását engedélyezte, nyilvántartást kérne arról, hogy valaki megpróbálta elérni a fájlt vagy mappát, de sikertelen volt, mert nem rendelkezik megfelelő engedélyekkel vagy engedélyekkel, de nem lett volna nyilvántartás arról, hogy egy jogosult felhasználó hozzáfér-e a fájlhoz vagy mappához .
Mivel a hacker nagyon jól használhatja a megrepedt felhasználónevet és jelszót, sikeresen hozzáférhetnek a fájlokhoz. Ha megtekinti a naplókat, és látja, hogy Bob Smith a vállalati pénzügyi kimutatást a vasárnap délelőtt 3 órakor törölte, biztos lehet abban, hogy Bob Smith aludt, és talán a felhasználóneve és a jelszava veszélybe került. Mindenesetre most már tudjátok, mi történt a fájllal, és mikor, és ez kiindulási pontot ad arra, hogy megvizsgálja, hogyan történt.
Mind a hiba, mind a sikeres naplózás hasznos információkat és nyomokat szolgáltat, de a rendszer teljesítményével egyensúlyt kell fektetnie az ellenőrzési és naplózási tevékenységeivel. Az emberi rekord példájától függően - segítené a nyomozókat, ha az emberek naplót vezetnek mindazokról, akikkel kapcsolatba kerültek, és mi történt az interakció során, de minden bizonnyal lelassítaná az embereket.
Ha meg kellett állnod és fel kellene írnod, hogy ki, mi és mikor minden egyes találkozásod egész nap volt, ez súlyosan befolyásolhatja a termelékenységedet. Ugyanez igaz a számítógépes tevékenység figyelemmel kísérésére és naplózására. Lehetősége van minden lehetséges hiba és sikeres naplózás lehetőségére, és nagyon részletes nyilvántartást fogsz kapni arról, ami a számítógépeden megtörténik. Azonban nagy hatást gyakorol a teljesítményre, mert a processzor elfoglalja a naplókban 100 különböző bejegyzés rögzítését minden egyes alkalommal, amikor valaki megnyom egy gombot, vagy rákattint az egérre.
Mérlegelnie kell, hogy a naplózás milyen hatással lehet a rendszer teljesítményére gyakorolt hatással, és olyan egyensúlyt alakíthat ki, amely a legjobban működik az Ön számára. Azt is szem előtt kell tartanunk, hogy sok hacker eszköz és trójai program, például az Sub7 tartalmaz olyan segédprogramokat, amelyek lehetővé teszik számukra, hogy megváltoztassák a naplófájlokat, hogy elrejtsék akcióikat, és elrejtsék a behatolást, így nem tudnak 100% -ot támaszkodni a naplófájlokról.
Bizonyos dolgokat figyelembe vehet a naplózás beállítása során, ha elkerülhető néhány teljesítményhiba és esetleg a hacker-eszköz eltitkolási problémája. Fel kell mérnie, hogy a naplófájlok milyen nagyok lesznek, és győződjön meg róla, hogy elég lemezterület van az első helyen.Szabályt kell létrehoznia arra is, hogy a régi naplók felül lesznek-e írva vagy törölve, vagy ha a naplókat naponta, hetente vagy más időközönként archiválják, hogy régebbi adatok is visszanézésre kerüljenek.
Ha egy dedikált merevlemez-meghajtót és / vagy merevlemez-vezérlőt használhat, kevésbé lesz hatással, mert a naplófájlok írhatók a lemezre, anélkül, hogy harcolnának azokkal az alkalmazásokkal, amelyeket megpróbálnak futtatni a meghajtóhoz való hozzáférés érdekében. Ha a naplófájlokat egy különálló számítógépre irányíthatja - lehetséges, hogy naplófájlok tárolására és teljesen más biztonsági beállításokra van szánva - képes lehet blokkolni a betolakodó azon képességét, hogy megváltoztassa vagy törölje a naplófájlokat is.
A végső megjegyzés az, hogy nem szabad várni, amíg túl késő, és a rendszer már összeomlik vagy megrongálódott, mielőtt megtekintené a naplókat. A naplófájlokat rendszeresen felül kell vizsgálni, hogy tudd, mi a normális és alapul szolgál. Így, amikor téves bejegyzéseket találsz, felismerheted őket, és proaktív lépéseket tehetsz a rendszer megkeményedése helyett, ahelyett, hogy túl késő lenne az igazságügyi nyomozás.
