Phân Tích Log

Trong lĩnh vực computer forensics, thì dường như máy tính của bạn là hiện trường nơi xảy ra tội phạm. Nhưng không giống như phân tích về loài người, các nhà phân tích về máy tính thường làm việc với 1 cái máy tính đang làm việc mà có thể đưa ra các dấu hiệu mà những thứ khác có thể sai lầm. Chương này chúng ta sẽ làm việc với việc phân tích log, mà có thể được coi như là 1 nhánh của forensics. Một file log riêng rẽ có thể rất quan trọng và chúng ta phải quyết định đưa chúng vào các phần khác nhau. Những gì là ví dụ cho những file log? Chúng ta có thể phân loại file log bằng các thiết bị mà làm việc dựa trên chúng, bởi vì những thiết bị thường quyết định loại thông tin chứa trong các file. Ví dụ, các file log của host (như Unix, Linux, Windows, VMS ) là khác nhau từ log của các ứng dụng network khácnhau (vídụ như sản phẩm switchs, routers hoặc các thiết bị mạng khác của Cisco, Nortel, Lucent ). Tương tự như vậy, các log của các ứng dụng an toàn thông tin (như firewall, IDS, thiết bị chống ddos, hệ thống phòng bị ) cũng rất khác nhau trên cả phương diện host và các log mạng. Trong thực tế, các thiết bị an toàn mạng hiển nhiên tạo nên một sự phân bổ không thể tưởng tượng được những gì chúng có thể ghi lại và định dạng mà chúng có thể tạo ra. Sắp xếp từ các địa chỉ IP đơn giản cho tới những giao dịch đầy đủ phức tạp trên mạng, các thiết bị an toàn hệ thống thường tạo nên một giá trị rất to lớn những thông tin rất thú vị, cả những thông tin về những sự việc hợp lệ và không hợp lệ. Làm thế nào để chúng ta có thẻ tìm được đâu là những sự việc không được cho phép. Làm thế nào để chúng ta học được về những xâm nhập trong quá khứ và thậm chí là tương lai từ logs? Chúng ta hoàn toàn có thể hi vọng vào việc tìm kiếm trong hàng gigabytes file log để tìm ra những hoạt động mà không được phép xảy ra khi mà những hacker đã rất là cẩn thận không để lại một dư thừa nào? Chương này sẽ trả lời cho chúng ta tất cả những câu hỏi đó.