Förhoppningsvis behåller du datorerna patcherade och uppdaterade och ditt nätverk är säkert. Det är dock ganska oundvikligt att du på något sätt kommer att drabbas av skadlig aktivitet - ett virus, en mask, en trojansk häst, en hack attack eller något annat. När det händer, om du har gjort rätt saker innan attacken kommer du att göra jobbet för att bestämma när och hur attacken lyckades så mycket lättare.
Om du någonsin har tittat på TV-seriet "CSI" eller bara om någon annan polis eller juridisk tv-program, vet du att även med den smalaste smittet av rättsmedicinska bevis kan utredarna identifiera, spåra och fånga förövaren av ett brott.
Men skulle det inte vara trevligt om de inte behövde sikta genom fibrer för att hitta det enda håret som egentligen hör till gärningsmannen och göra DNA-testning för att identifiera sin ägare? Vad händer om det fanns ett register för varje person av vem de kom i kontakt med och när? Vad händer om det fanns ett register över vad som gjordes för den personen?
Om så är fallet kan utredare som de som står i "CSI" vara borta. Polisen skulle hitta kroppen, kolla posten för att se vem som senast kom i kontakt med den avlidne och vad som var gjort och de skulle redan ha identiteten utan att behöva gräva. Det här är vad loggning ger när det gäller att leverera rättsmedicinska bevis när det finns skadlig aktivitet på datorn eller nätverket.
Om en nätverksadministratör inte aktiverar loggning eller loggar inte på de korrekta händelserna kan det vara lika svårt att gräva rättsmedicinska bevis för att identifiera tid och datum eller metod för obehörig åtkomst eller annan skadlig aktivitet som att leta efter den proverbiala nålen i en höstack. Ofta är orsaken till en attack aldrig upptäckt. Hackade eller infekterade maskiner städas och alla återvänder till affärer som vanligt utan att verkligen veta om systemen skyddas bättre än de var när de slog i första hand.
Vissa program loggar saker som standard. Webservrar som IIS och Apache loggar vanligtvis all inkommande trafik. Detta används huvudsakligen för att se hur många som besökt webbplatsen, vilken IP-adress de använde och annan statistisk information om webbplatsen. Men när det gäller maskar som CodeRed eller Nimda kan webbloggen också visa dig när smittade system försöker komma åt ditt system eftersom de har vissa kommandon de försöker som kommer att dyka upp i loggarna om de lyckas eller inte.
Vissa system har olika inspelnings- och loggfunktioner inbyggda. Du kan också installera ytterligare programvara för att övervaka och logga på olika åtgärder på datorn (se Verktyg i länkrutan till höger om den här artikeln). På en Windows XP Professional-maskin finns det möjligheter att granska kontoinloggningshändelser, kontohantering, åtkomst till katalogtjänsten, inloggningshändelser, objektåtkomst, policyändring, behörighetsanvändning, processspårning och systemhändelser.
För var och en av dessa kan du välja att logga framgång, misslyckande eller ingenting. Använda Windows XP Pro som exempel, om du inte aktiverade någon loggning för objektåtkomst så hade du ingen post om när en fil eller mapp senast öppnades. Om du endast aktiverat felloggning skulle du registrera när någon försökte komma åt filen eller mappen men misslyckades på grund av att du inte hade rätt behörighet eller behörighet, men du skulle inte ha en post när en behörig användare öppnade filen eller mappen .
Eftersom en hackare mycket väl kan använda ett sprickat användarnamn och lösenord kan de ha tillgång till filer med framgång. Om du tittar på loggarna och ser att Bob Smith tog bort företagets finansieringsöversikt klockan 3 på söndagen kan det vara säkert att anta att Bob Smith sov och kanske hans användarnamn och lösenord har äventyras. I vilket fall som helst vet du vad som hände med filen och när och det ger dig en utgångspunkt för att undersöka hur det hände.
Både misslyckad och framgångsrik loggning kan ge användbar information och ledtrådar, men du måste balansera dina övervaknings- och loggaktiviteter med systemprestanda. Med hjälp av det exemplar av mänskliga rekordboken ovan skulle det hjälpa utredare om personer behöll en logga över alla de kom i kontakt med och vad som hände under interaktionen, men det skulle verkligen sakta ner folk.
Om du var tvungen att sluta och skriva ner vem, vad och när för varje möte du hade hela dagen kan det allvarligt påverka din produktivitet. Samma sak gäller övervakning och loggdatoraktivitet. Du kan aktivera alla möjliga fel och framgångsloggalternativ och du kommer att ha en mycket detaljerad beskrivning av allt som händer i din dator. Du kommer dock att påverka resultatet kraftigt eftersom processorn kommer att vara upptagen med att spela in 100 olika poster i loggarna varje gång någon trycker på en knapp eller klickar på musen.
Du måste väga ut vilken typ av loggning som skulle vara till nytta med inverkan på systemets prestanda och få det balans som fungerar bäst för dig. Du bör också komma ihåg att många hackerverktyg och trojanska hästprogram som Sub7 inkluderar verktyg som gör att de kan ändra loggfiler för att dölja sina handlingar och dölja intrånget så att du inte kan lita 100% på loggfilerna.
Du kan undvika några av prestandaproblemen och eventuellt problem med hackverktygets doldhet genom att ta hänsyn till vissa saker när du konfigurerar din loggning. Du måste mäta hur stor loggfilerna kommer att bli och se till att du har tillräckligt med diskutrymme i första hand.Du måste också ställa in en policy för huruvida gamla loggar kommer att skrivas över eller raderas eller om du vill arkivera loggarna dagligen, veckovis eller annan periodisk, så att du även har äldre data att titta tillbaka på.
Om det är möjligt att använda en dedikerad hårddisk och / eller hårddiskkontroll har du mindre prestanda, eftersom loggfilerna kan skrivas till disken utan att behöva kämpa med de program du försöker köra för åtkomst till enheten. Om du kan styra loggfilerna till en separat dator - eventuellt dedikerad för att lagra loggfiler och med helt olika säkerhetsinställningar - kan du eventuellt blockera en inkräktares förmåga att ändra eller ta bort loggfilerna också.
En slutlig notering är att du inte ska vänta tills det är för sent och ditt system är redan kraschat eller äventyras innan du tittar på loggarna. Det är bäst att granska loggarna regelbundet så att du kan veta vad som är normalt och skapa en baslinje. På så sätt när du stöter på felaktiga poster kan du känna igen dem som sådana och vidta proaktiva åtgärder för att härda ditt system istället för att göra rättsmedicinsk utredning efter det är för sent.
