Mudah-mudahan anda menyimpan komputer anda dan dikemas kini dan rangkaian anda selamat. Walau bagaimanapun, ia tidak dapat dielakkan lagi bahawa pada suatu ketika anda akan dilanggar dengan aktiviti berniat jahat - virus, cacing, kuda Trojan, serangan hack atau sebaliknya. Apabila itu berlaku, jika anda telah melakukan perkara yang betul sebelum serangan anda akan membuat tugas menentukan kapan dan bagaimana serangan berjaya lebih mudah.
Sekiranya anda pernah menyaksikan pameran TV "CSI" atau hanya mengenai rancangan polis atau undang-undang lain, anda tahu bahawa walaupun dengan bukti palsu forensik, penyiasat boleh mengenal pasti, mengesan dan menangkap pelaku kejahatan.
Tetapi, tidakkah ia baik jika mereka tidak perlu menyaring melalui gentian untuk mencari satu rambut yang sebenarnya milik pelaku dan melakukan ujian DNA untuk mengenal pasti pemiliknya? Bagaimana jika terdapat rekod yang disimpan pada setiap orang yang mereka bersentuhan dengan dan bila? Bagaimana jika terdapat rekod disimpan apa yang dilakukan kepada orang itu?
Jika itu berlaku, penyiasat seperti yang ada dalam "CSI" mungkin keluar daripada perniagaan. Polis akan menemui mayat itu, periksa rekod itu untuk melihat siapa yang terakhir bersentuhan dengan si mati dan apa yang telah dilakukan dan mereka akan mempunyai identiti tanpa perlu menggali. Inilah yang menyediakan pembalakan dari segi membekalkan bukti forensik apabila terdapat aktiviti berniat jahat di komputer atau rangkaian anda.
Jika pentadbir rangkaian tidak menghidupkan pembalakan atau tidak log acara yang betul, menggali bukti forensik untuk mengenal pasti masa dan tarikh atau kaedah akses yang tidak dibenarkan atau aktiviti berniat jahat yang lain sama seperti sukar mencari jarum pepatah dalam jerami. Selalunya akar punca serangan tidak pernah ditemui. Mesin-mesin yang diretas atau dijangkiti dibersihkan dan semua orang kembali ke perniagaan seperti biasa tanpa benar-benar mengetahui sama ada sistem dilindungi lebih baik daripada mereka ketika mereka terpukul di tempat pertama.
Sesetengah aplikasi log perkara secara lalai. Pelayan web seperti IIS dan Apache umumnya log semua lalu lintas masuk. Ini digunakan terutamanya untuk melihat berapa ramai orang melawat laman web, apa alamat IP yang mereka gunakan dan maklumat jenis metrik lain mengenai laman web. Tetapi, dalam kes cacing seperti CodeRed atau Nimda, weblog juga boleh menunjukkan kepada anda apabila sistem yang dijangkiti cuba mengakses sistem anda kerana mereka mempunyai perintah tertentu yang mereka percubur yang akan muncul di dalam log apakah mereka berjaya atau tidak.
Sesetengah sistem mempunyai pelbagai fungsi audit dan pembalakan yang dibina. Anda juga boleh memasang perisian tambahan untuk memantau dan log pelbagai tindakan di komputer (lihat Alat dalam kotak pautan di sebelah kanan artikel ini). Pada mesin Windows XP Profesional, terdapat pilihan untuk mengaudit acara log masuk akaun, pengurusan akaun, akses perkhidmatan direktori, peristiwa log masuk, akses objek, perubahan dasar, penggunaan hak istimewa, proses pengesanan dan peristiwa sistem.
Untuk setiap ini, anda boleh memilih untuk log kejayaan, kegagalan atau apa-apa. Menggunakan Windows XP Pro sebagai contoh, jika anda tidak mendayakan apa-apa pembalakan untuk akses objek anda tidak akan mempunyai rekod apabila fail atau folder terakhir diakses. Sekiranya anda mendayakan hanya pembalakan kegagalan anda akan mempunyai rekod apabila seseorang cuba mengakses fail atau folder tetapi gagal kerana tidak mempunyai keizinan atau kebenaran yang sewajarnya, tetapi anda tidak akan mempunyai rekod apabila pengguna dibenarkan mengakses fail atau folder .
Kerana seorang penggodam boleh menggunakan nama pengguna dan kata laluan retak yang mereka dapat berjaya mengakses fail. Jika anda melihat log dan melihat bahawa Bob Smith memadamkan penyata kewangan syarikat pada pukul 3 pagi pada hari Ahad, ia mungkin selamat untuk menganggap bahawa Bob Smith sedang tidur dan mungkin nama pengguna dan kata laluannya telah dikompromikan. Dalam apa jua keadaan, anda sekarang tahu apa yang berlaku pada fail dan kapan dan ia memberi anda titik permulaan untuk menyiasat bagaimana ia berlaku.
Kedua-dua kegagalan dan kejayaan pembalakan boleh memberikan maklumat dan petunjuk berguna, tetapi anda perlu mengimbangi aktiviti pemantauan dan pembalakan anda dengan prestasi sistem. Menggunakan contoh buku rekod manusia dari atas - ia akan membantu penyiasat jika orang menyimpan log semua orang yang mereka hadapi dan apa yang berlaku semasa interaksi, tetapi pastinya akan melambatkan orang ramai.
Jika anda terpaksa berhenti dan menulis siapa, apa dan bila untuk setiap pertemuan yang anda miliki sepanjang hari, ia akan menjejaskan produktiviti anda. Perkara yang sama berlaku untuk pemantauan dan pembalakan aktiviti komputer. Anda boleh mendayakan setiap kemungkinan kegagalan dan pilihan pembalakan kejayaan dan anda akan mempunyai rekod yang terperinci mengenai semua yang berlaku di dalam komputer anda. Walau bagaimanapun, anda akan menjejaskan prestasi yang teruk kerana pemproses akan sibuk merakam 100 entri yang berbeza dalam log setiap kali seseorang menekan butang atau klik tetikus mereka.
Anda perlu menimbang apa jenis pembalakan yang akan memberi kesan kepada impak terhadap prestasi sistem dan menghasilkan baki yang paling sesuai untuk anda. Anda juga perlu diingat bahawa banyak alat hacker dan program kuda Trojan seperti Sub7 termasuk utiliti yang membolehkan mereka mengubah fail log untuk menyembunyikan tindakan mereka dan menyembunyikan pencerobohan sehingga anda tidak dapat 'mengandalkan 100% pada fail log.
Anda boleh mengelakkan beberapa masalah prestasi dan mungkin masalah penyembunyian alat penggodam dengan mengambil perkara-perkara tertentu sebagai pertimbangan apabila menyediakan pembalakan anda. Anda perlu mengukur seberapa besar fail log yang akan diperoleh dan pastikan anda mempunyai ruang cakera yang cukup di tempat pertama.Anda juga perlu menyediakan dasar sama ada log lama akan ditimpa atau dihapuskan atau jika anda ingin mengarkibkan log setiap hari, mingguan atau lain-lain secara berkala supaya anda mempunyai data yang lebih lama untuk melihat kembali juga.
Jika ada kemungkinan menggunakan cakera keras khusus dan / atau pengawal cakera keras, anda akan mempunyai kesan prestasi yang kurang kerana fail log boleh ditulis ke cakera tanpa perlu berjuang dengan aplikasi yang anda cuba jalankan untuk akses kepada pemacu. Sekiranya anda boleh mengarahkan fail log ke komputer yang berasingan Â- mungkin didedikasikan untuk menyimpan fail log dan dengan tetapan keselamatan yang sama sekali berbeza - anda mungkin dapat menghalang keupayaan penceroboh untuk mengubah atau memadam fail log juga.
Nota akhir ialah anda tidak perlu menunggu sehingga terlambat dan sistem anda telah terhempas atau dikompromikan sebelum melihat log. Adalah lebih baik untuk mengkaji semula log secara berkala supaya anda boleh mengetahui apa yang normal dan mewujudkan garis dasar. Dengan cara ini, apabila anda mencari penyertaan yang salah, anda boleh mengenali mereka sedemikian dan mengambil langkah proaktif untuk menguatkan sistem anda dan bukan melakukan siasatan forensik selepas terlambat.
