Forhåbentlig holder du dine computere patched og opdateret, og dit netværk er sikkert. Det er dog ret uundgåeligt, at du på et eller andet tidspunkt vil blive ramt af ondsindet aktivitet - en virus, orm, trojansk hest, hack angreb eller på anden måde. Når det sker, hvis du har gjort de rigtige ting før angrebet, vil du gøre jobbet for at bestemme, hvornår og hvordan angrebet lykkedes det meget lettere.
Hvis du nogensinde har set tv-showet "CSI" eller næsten enhver anden politimæssig eller juridisk tv-udsendelse, ved du, at selv med den smaleste rensning af retsmedicinske beviser kan efterforskerne identificere, spore og fange gerningsmanden til en forbrydelse.
Men ville det ikke være dejligt, hvis de ikke skulle sigtes gennem fibre for at finde det ene hår, der rent faktisk tilhører gerningsmanden og gøre DNA-test for at identificere sin ejer? Hvad hvis der var en rekord, der blev holdt på hver person af hvem de kom i kontakt med, og hvornår? Hvad hvis der var en rekord over hvad der var gjort for den person?
Hvis det var tilfældet, kan forskere som dem i "CSI" være ude af drift. Politiet ville finde kroppen, kontrollere posten for at se, hvem der sidst kom i kontakt med afdøde og hvad der var gjort, og de ville allerede have identiteten uden at skulle grave. Dette er hvad logning giver i form af at fremskaffe retsmedicinske beviser, når der er ondsindet aktivitet på din computer eller netværk.
Hvis en netværksadministrator ikke tænder logging eller logger ikke på de korrekte hændelser, kan det være lige så vanskeligt at opgradere retsmedicinsk bevis for at identificere tidspunktet og datoen eller metoden for uautoriseret adgang eller anden ondsindet aktivitet som at søge den ordsprogede nål i en høstak. Ofte er årsagen til et angreb aldrig opdaget. Hackede eller inficerede maskiner rengøres, og alle vender tilbage til erhvervslivet som normalt uden at vide, om systemerne er beskyttet bedre end de var, da de blev ramt i første omgang.
Nogle applikationer logger ting som standard. Webservere som IIS og Apache logger generelt på al indkommende trafik. Dette bruges hovedsageligt til at se, hvor mange personer der besøgte hjemmesiden, hvilken IP-adresse de brugte og andre metrics-type oplysninger vedrørende hjemmesiden. Men når det drejer sig om orme som CodeRed eller Nimda, kan webloggene også vise dig, når inficerede systemer forsøger at få adgang til dit system, fordi de har bestemte kommandoer, de forsøger, der vises i logfilerne, om de lykkes eller ej.
Nogle systemer har forskellige revisions- og logfunktioner indbygget. Du kan også installere ekstra software til overvågning og logning af forskellige handlinger på computeren (se Værktøj i linket til højre for denne artikel). På en Windows XP Professional-maskine er der muligheder for at revidere kontoindlæsningsbegivenheder, kontoadministration, adgang til bibliotekstjeneste, loginhændelser, objektadgang, politikændring, brug af privilegier, processporing og systemhændelser.
For hver af disse kan du vælge at logge succes, fejl eller intet. Brug af Windows XP Pro som eksempel, hvis du ikke aktiverede nogen logning for objektadgang, ville du ikke have nogen oversigt over, hvornår en fil eller mappe sidst blev åbnet. Hvis du kun aktiverede fejllogning, ville du have en oversigt over, hvornår nogen forsøgte at få adgang til filen eller mappen, men mislykkedes på grund af ikke at have de korrekte tilladelser eller tilladelse, men du ville ikke have en oversigt over, hvornår en autoriseret bruger har adgang til filen eller mappen .
Fordi en hacker måske meget godt bruger et sprækket brugernavn og adgangskode, kan de muligvis få adgang til filer. Hvis du ser logfilerne og ser, at Bob Smith har slettet virksomhedens finansieringsoversigt kl. 3 om søndagen, kan det være sikkert at antage, at Bob Smith sov og måske er hans brugernavn og adgangskode blevet kompromitteret. Under alle omstændigheder ved du nu, hvad der skete med filen, og hvornår og det giver dig et udgangspunkt for at undersøge, hvordan det skete.
Både fejl og succes logging kan give nyttige oplysninger og spor, men du skal balancere dine overvågnings- og logningsaktiviteter med systemets ydeevne. Ved hjælp af eksemplet fra det menneskelige rekordbog fra oven ville det hjælpe efterforskere, hvis folk holdt en log af alle, de kom i kontakt med, og hvad der skete under samspillet, men det ville helt sikkert bremse folk ned.
Hvis du skulle stoppe og skrive ned hvem, hvad og hvornår for hvert møde du havde hele dagen, kan det alvorligt påvirke din produktivitet. Det samme gælder for overvågning og logning af computeraktivitet. Du kan aktivere enhver mulig fejl- og succesloggning, og du vil have en meget detaljeret oversigt over alt, hvad der sker i din computer. Du vil dog alvorligt påvirke ydeevnen, fordi processoren vil være optaget med at optage 100 forskellige poster i logfilerne hver gang nogen trykker på en knap eller klikker på musen.
Du er nødt til at afveje, hvilken slags logning der ville være gavnlig med virkningen på systemets ydeevne og komme op med den balance, der passer bedst til dig. Du skal også huske på, at mange hackerværktøjer og trojanske hesteprogrammer som Sub7 omfatter værktøjer, der gør det muligt for dem at ændre logfiler for at skjule deres handlinger og skjule indtrængen, så du ikke kan stole 100% på logfilerne.
Du kan undgå nogle af præstationsproblemerne og muligvis problemerne med hackerværktøjs skjul ved at tage visse ting i betragtning, når du konfigurerer din logning. Du skal måle, hvor stor logfilerne vil få, og sørg for, at du har nok diskplads i første omgang.Du skal også oprette en politik for, om gamle logfiler overskrives eller slettes, eller hvis du vil arkivere logfilerne dagligt, ugentligt eller andet periodisk, så du også får ældre data til at se tilbage.
Hvis det er muligt at bruge en dedikeret harddisk og / eller harddisk controller har du mindre ydeevne påvirkning, fordi logfilerne kan skrives til disken uden at skulle kæmpe med de programmer, du forsøger at køre for adgang til drevet. Hvis du kan lede logfilerne til en separat computer  - muligvis dedikeret til at lagre logfiler og med helt forskellige sikkerhedsindstillinger - kan du muligvis blokere en indtrengers evne til at ændre eller slette logfilerne også.
En endelig note er, at du ikke bør vente, før det er for sent, og dit system er allerede styrtet eller kompromitteret, før du ser logfilerne. Det er bedst at gennemgå logfilerne med jævne mellemrum, så du kan vide, hvad der er normalt og etablere en basislinje. På den måde når du støder på fejlagtige indlæg, kan du genkende dem som sådan og tage proaktive skridt til at hærde dit system i stedet for at gøre retsmedicinsk efterforskning efter for sent.
