Forhåpentligvis holder du datamaskinene oppdatert og oppdatert, og nettverket ditt er sikkert. Det er imidlertid ganske uunngåelig at du på et eller annet tidspunkt vil bli rammet av ondsinnet aktivitet - et virus, orm, trojansk hest, hack angrep eller på annen måte. Når det skjer, hvis du har gjort de riktige tingene før angrepet, vil du gjøre jobben med å bestemme når og hvordan angrepet lyktes så mye lettere.
Hvis du noen gang har sett på TV-showet "CSI" eller bare om noe annet politimessig eller lovlig tv-program, vet du at selv med den smaleste makten av rettsmedisinske bevis kan etterforskerne identifisere, spore og fange gjerningsmannen av en forbrytelse.
Men ville det ikke vært fint om de ikke måtte sile gjennom fibre for å finne det ene håret som faktisk tilhører gjerningsmannen og gjøre DNA-testing for å identifisere eieren? Hva om det var rekord holdt på hver person av hvem de kom i kontakt med og når? Hva om det var en oversikt over hva som ble gjort for den personen?
Hvis det var tilfelle, kan etterforskere som de i "CSI" være ute av drift. Politiet ville finne kroppen, sjekke posten for å se hvem som sist kom i kontakt med den avdøde og hva som var gjort, og de ville allerede ha identiteten uten å måtte grave. Dette er hva logging gir når det gjelder å levere rettsmedisinske bevis når det er ondsinnet aktivitet på datamaskinen eller nettverket ditt.
Hvis en nettverksadministrator ikke slår på logging eller logger ikke på de riktige hendelsene, kan det være like vanskelig å grave opp rettsmedisinske bevis for å identifisere tid og dato eller metode for uautorisert tilgang eller annen skadelig aktivitet som å søke etter den ordspråklige nålen i en høystakk. Ofte oppdages årsaken til et angrep aldri. Hackede eller infiserte maskiner rengjøres og alle returnerer til virksomheten som vanlig uten å vite om systemene er beskyttet noe bedre enn de var da de ble rammet i første omgang.
Noen programmer logger seg som standard. Webservere som IIS og Apache logger vanligvis på alle innkommende trafikk. Dette brukes hovedsakelig for å se hvor mange personer som besøkte nettstedet, hvilken IP-adresse de brukte og annen statistikkinformasjon om nettstedet. Men når det gjelder ormer som CodeRed eller Nimda, kan webloggene også vise deg når infiserte systemer prøver å få tilgang til systemet fordi de har bestemte kommandoer de forsøker som vil vises i loggene om de lykkes eller ikke.
Enkelte systemer har ulike revisjons- og loggfunksjoner innebygd. Du kan også installere tilleggsprogramvare for å overvåke og logge på forskjellige handlinger på datamaskinen (se Verktøy i lenkeboksen til høyre for denne artikkelen). På en Windows XP Professional-maskin er det muligheter for å revidere kontoinnloggingshendelser, kontoadministrasjon, tilgang til katalogtjenesten, innloggingshendelser, objekttilgang, policyendring, bruk av privilegier, prosesssporing og systemhendelser.
For hver av disse kan du velge å logge suksess, feil eller ingenting. Bruk av Windows XP Pro som eksempel, hvis du ikke aktiverte noen logging for objekttilgang, ville du ikke ha oversikt over når en fil eller mappe sist ble åpnet. Hvis du bare aktiverte feillogging, ville du ha en oversikt over når noen prøvde å få tilgang til filen eller mappen, men mislyktes fordi de ikke hadde de riktige tillatelsene eller autorisasjonene, men du ville ikke ha oversikt over når en autorisert bruker åpnet filen eller mappen .
Fordi en hacker muligens kan bruke et sprekkt brukernavn og passord, kan det hende at de kan få tilgang til filer. Hvis du ser loggene og ser at Bob Smith slettet selskapsregnskapet klokka 3 på søndag, kan det være trygt å anta at Bob Smith sov og kanskje hans brukernavn og passord er blitt kompromittert. Uansett vet du nå hva som skjedde med filen og når og det gir deg et utgangspunkt for å undersøke hvordan det skjedde.
Både feil- og suksesslogging kan gi nyttig informasjon og ledetråder, men du må balansere overvåkings- og loggaktivitetene med systemytelsen. Ved hjelp av eksemplet fra menneskepostboken fra oven, ville det hjelpe etterforskere hvis folk holdt en logg over alle de kom i kontakt med, og hva som skjedde under samspillet, men det ville absolutt sakte folk ned.
Hvis du måtte stoppe og skrive ned hvem, hva og når for hvert møte du hadde hele dagen, kan det få alvorlig innvirkning på produktiviteten din. Det samme gjelder for overvåking og logging av datamaskinaktivitet. Du kan aktivere alle mulige feil- og suksessloggingsalternativer, og du vil få en meget detaljert oversikt over alt som skjer i datamaskinen. Du vil imidlertid ha stor innvirkning på ytelsen fordi prosessoren vil være opptatt med å registrere 100 forskjellige oppføringer i loggene hver gang noen trykker på en knapp eller klikker musen.
Du må veie ut hva slags logging ville være fordelaktig med effekten på systemytelsen og komme opp med den balansen som passer best for deg. Du bør også huske på at mange hackerverktøy og trojanske hesteprogrammer som Sub7 inkluderer verktøy som tillater dem å endre loggfiler for å skjule sine handlinger og skjule inntrengingen, slik at du ikke kan stole på 100% på loggfilene.
Du kan unngå noen av ytelsesproblemer og muligens problemene ved å skjule hackerverktøyet ved å ta visse ting i betraktning når du konfigurerer loggingen. Du må måle hvor stor loggfilene vil få, og sørg for at du har nok diskplass i utgangspunktet.Du må også sette opp en policy for om gamle logger skal overskrives eller slettes, eller hvis du vil arkivere loggene daglig, ukentlig eller annen periodisk basis, slik at du også har eldre data til å se på igjen.
Hvis det er mulig å bruke en dedikert harddisk og / eller harddisk kontroller, vil du få mindre ytelse innvirkning fordi loggfilene kan skrives til disken uten å måtte kjempe med programmene du prøver å kjøre for tilgang til stasjonen. Hvis du kan lede loggfilene til en egen datamaskin - muligens dedikert til lagring av loggfiler og med helt forskjellige sikkerhetsinnstillinger - kan du kanskje blokkere en inntrengers evne til å endre eller slette loggfiler også.
En endelig notat er at du ikke bør vente til det er for sent, og systemet ditt er allerede krasjet eller kompromittert før du ser på loggene. Det er best å gjennomgå loggene med jevne mellomrom, slik at du kan vite hva som er normalt og etablere en basislinje. På den måten, når du kommer over feilaktige oppføringer, kan du gjenkjenne dem som sådan og ta proaktive skritt for å herde systemet i stedet for å gjøre rettsmedisinsk etterforskning etter at den er for sent.
