Toivottavasti pidät tietokoneesi paikassa päivitettynä ja verkko on turvallinen. Kuitenkin on melko väistämätöntä, että jossakin vaiheessa joudutaan kohtaamaan haitallista toimintaa - virusta, matoa, troijalaiselta hevolta, hyökätä hyökkäyksiltä tai muuten. Kun näin tapahtuu, jos olet tehnyt hyviä asioita ennen hyökkäystä, teet tehtävän määrittää, milloin ja miten hyökkäys onnistui paljon helpommaksi.
Jos olet joskus katsellut tv-ohjelmaa "CSI" tai vain muutakin poliisin tai laillisen TV-shown, tiedät, että jopa pienimmän rikollisen todistusaineiston avulla tutkijat voivat tunnistaa, seurata ja tappaa rikoksen tekijän.
Mutta eikö olisi mukavaa, jos heidän ei tarvitsisi kuitujen läpi kuumentaa löytää sellainen hiukset, joka itse asiassa kuuluu tekijälle ja tekee DNA-testausta sen omistajan tunnistamiseksi? Entä jos jokaisella henkilöllä oli tietue, kenen kanssa he joutuivat kosketuksiin ja milloin? Entä jos olisi tallennettu tietue siitä, mitä hänelle tehtiin?
Jos näin olisi, tutkijat, kuten "CSI" -keskustelijat, saattavat olla pois liiketoiminnasta. Poliisi löytää ruumiin, tarkistaa tietueen, kuka viimein tuli kosketukseen kuolleen kanssa ja mikä oli tehty, ja heillä olisi jo identiteetti ilman kaivamista. Tämä on mitä kirjaus tarjoaa toimittaakseen rikosteknisiä todisteita, kun tietokoneessa tai verkossa on haitallista toimintaa.
Jos verkon pääkäyttäjä ei käynnistä kirjautumista tai kirjaa oikeita tapahtumia, kaivaa rikosteknisiä todisteita, joiden avulla tunnistetaan ajankohta ja päivämäärä tai menetelmä luvattoman käytön tai muun vahingollisen toiminnan kannalta, voi olla yhtä vaikeaa kuin etsiä sananlaskun neulaa heinäsuovasta. Hyökkäyksen perimmäinen syy ei ole koskaan löydetty. Hakkeroidut tai tartunnan saaneet koneet puhdistetaan ja jokainen palaa tavalliseen tapaan ilman, että hän todella tietää, ovatko järjestelmät suojattu paremmin kuin he olivat, kun heidät osui ensimmäistä kertaa.
Jotkut sovellukset kirjaavat asioita oletuksena. Web-palvelimet, kuten IIS ja Apache yleensä kirjaavat kaikki saapuvan liikenteen. Tätä käytetään lähinnä siihen, kuinka monta ihmistä vieraili verkkosivustossa, mitä IP-osoitetta he käyttivät ja muita verkkosivustoa koskevia tietoja. Mutta esimerkiksi matoilla, kuten CodeRed tai Nimda, weblogit voivat myös näyttää, kun tartunnan saaneet järjestelmät yrittävät päästä järjestelmään, koska heillä on tiettyjä komentoja, joita he yrittävät, jotka näkyvät lokeissa, ovatko he onnistuneet vai eivät.
Joissakin järjestelmissä on sisäänrakennettu erilaisia auditointi- ja kirjautumistoimintoja. Voit myös asentaa lisäohjelmia tietokoneen eri toimintojen seuraamiseen ja kirjaamiseen (katso kohtaa Työkalut linkkikenttään tämän artikkelin oikealla puolella). Windows XP Professional -laitteessa on tilitunnusten tapahtumien, tilinhallinnan, hakemistopalvelun käytön, kirjautumistilanteiden, objektin käytön, käytäntömuutosten, käyttöoikeuksien käytön, prosessien seurannan ja järjestelmätapahtumien tarkastukset.
Jokaiselle näistä voit kirjautua menestykseen, epäonnistumaan tai mitään. Käyttämällä esimerkkinä Windows XP Pro -ohjelmaa, jos et mahdollistanut objektin pääsyä varten kirjautumista, sinulla ei olisi tietoja siitä, milloin tiedosto tai kansio viimeksi käytettiin. Jos otit käyttöön vain vikailmoituksen, sinulla olisi kirjaa siitä, kun joku yritti käyttää tiedostoa tai kansiota, mutta epäonnistui, koska hänellä ei ollut oikeita käyttöoikeuksia tai valtuutusta, mutta sinulla ei olisi tietoja siitä, milloin valtuutettu käyttäjä käyttää tiedostoa tai kansiota .
Koska hakkeri voi hyvinkin käyttää säröttyä käyttäjätunnusta ja salasanaa, he voivat päästä käsiksi tiedostoihin. Jos katsot kirjaa ja näet, että Bob Smith poisti yrityksen tilinpäätöksen sunnuntaina kello 3, on ehkä turvallista olettaa, että Bob Smith nukkui ja että hänen käyttäjätunnuksensa ja salasanansa on vaarantunut. Joka tapauksessa tiedät nyt, mitä tapahtui tiedostolle ja milloin ja mistä se antaa sinulle lähtökohdan tutkia miten se tapahtui.
Sekä epäonnistuminen että menestyslaskenta voivat tarjota hyödyllistä tietoa ja vihjeitä, mutta sinun on tasapainotettava seuranta- ja kirjautumistoiminnot järjestelmän suorituskyvyn avulla. Käyttämällä ihmisen kirjan kirjan esimerkkiä ylhäältä - se auttaa tutkijoita, jos ihmiset pitivät kirjaa kaikista niistä, joihin he joutuivat kosketuksiin ja mitä tapahtui vuorovaikutuksen aikana, mutta se varmasti hidastaisi ihmisiä.
Jos joudut pysähtymään ja kirjoittamaan kuka, mitä ja milloin jokaisen kohtauksen, jota sinulla oli koko päivän, se voisi vaikuttaa vakavasti tuottavuuteenne. Sama pätee tietokoneen toiminnan seurantaan ja kirjaamiseen. Voit ottaa käyttöön kaikki mahdolliset vianmäärityksen ja onnistumisen kirjautumisvaihtoehdon, ja sinulla on hyvin yksityiskohtainen tietue kaikesta, mitä tapahtuu tietokoneellasi. Sinä kuitenkin vaikuttavat voimakkaasti suorituskykyyn, koska prosessori on kiireinen tallentamaan 100 erilaista merkkiä lokiin joka kerta, kun joku painaa painiketta tai napsauttaa hiirtä.
Sinun on punnittava, mitkä puunkorjuu hyödyttäisivät järjestelmän suorituskyvyn vaikutuksia ja tulisivat tasapainoon, joka toimii parhaiten sinulle. Sinun on myös pidettävä mielessä, että monet hakkerointivälineet ja Troijan hevosohjelmat, kuten Sub7, sisältävät apuohjelmia, joiden avulla he voivat muuttaa lokitiedostoja piilottaakseen toimintansa ja piilottaakseen tunkeutumisen, joten et voi luottaa 100% lokitiedostoihin.
Voit välttää joitakin suorituskykyongelmia ja mahdollisesti hakkerointityökalun kätkemisongelmia ottamalla tiettyjä asioita huomioon kirjautumisen yhteydessä. Sinun on mitattava, kuinka suuret lokitiedostot saavat ja varmista, että sinulla on tarpeeksi levytilaa ensinnäkin.Sinun on myös määritettävä käytäntö, jonka mukaan vanhat lokit korvataan tai poistetaan tai jos haluat arkistoida lokit päivittäin, viikoittain tai jaksottaisesti, jotta vanhempia tietoja voi tarkastella myös takaisin.
Jos on mahdollista käyttää erillistä kiintolevyä ja / tai kiintolevyohjainta, sinulla on vähemmän suorituskykyvaikutuksia, koska lokitiedostot voidaan kirjoittaa levylle ilman, että sinun on taisteltava sovelluksilla, joita yrität ajaa käyttöösi. Jos voit ohjata lokitiedostot erilliseen tietokoneeseen  - mahdollisesti lokitiedostojen tallentamiseen ja täysin erilaisten suojausasetusten kanssa - voit estää tunkeilijan kyvyn muokata tai poistaa myös lokitiedostoja.
Viimeinen huomautus on, että sinun ei pitäisi odottaa, kunnes se on liian myöhäistä ja järjestelmäsi on jo kaatunut tai vaarantunut ennen lokien katselua. On hyvä tarkistaa lokit säännöllisesti, jotta voit tietää, mikä on normaalia ja perustaa perusviiva. Näin kun havaitset virheellisiä merkintöjä, voit tunnistaa ne sellaisenaan ja ryhtyä ennakoiviin toimiin järjestelmän kovettumisen sijaan tekemällä rikostutkinnan tutkinnan sen jälkeen, kun se on liian myöhään.
