หวังว่าคุณจะทำให้คอมพิวเตอร์ของคุณมีการอัปเดตและเครือข่ายของคุณปลอดภัย อย่างไรก็ตามสิ่งที่หลีกเลี่ยงไม่ได้คือคุณอาจโดนโจมตีด้วยกิจกรรมที่เป็นอันตราย ได้แก่ ไวรัสเวิร์มโทรจันสับหรืออื่น ๆ เมื่อสิ่งนี้เกิดขึ้นถ้าคุณทำสิ่งที่ถูกต้องก่อนที่จะถูกโจมตีคุณจะสามารถกำหนดเวลาในการโจมตีได้ง่ายขึ้นและเมื่อไหร่
หากคุณเคยดูรายการทีวี "CSI" หรือเกี่ยวกับตำรวจหรือรายการทีวีทางกฎหมายอื่น ๆ คุณก็รู้ด้วยว่าแม้จะมีพยานหลักฐานทางนิติเวชที่ละเอียดที่สุดนักวิจัยสามารถระบุติดตามและจับกุมผู้กระทำความผิดอาชญากรรมได้
แต่มันจะไม่ดีถ้าพวกเขาไม่จำเป็นต้องลอดผ่านเส้นใยเพื่อหาหนึ่งผมที่จริงเป็นของผู้กระทำผิดและทำการทดสอบดีเอ็นเอเพื่อระบุเจ้าของ? เกิดอะไรขึ้นถ้ามีบันทึกไว้ในแต่ละคนที่พวกเขาเข้ามาติดต่อกับและเมื่อ? จะเกิดอะไรขึ้นถ้ามีการเก็บบันทึกข้อมูลไว้ว่าบุคคลนั้นทำอะไร?
หากเป็นเช่นนั้นนักวิจัยเช่น CSI อาจไม่อยู่ในธุรกิจ ตำรวจจะพบศพตรวจสอบบันทึกเพื่อดูว่าใครเป็นคนสุดท้ายที่ได้สัมผัสกับผู้ตายและสิ่งที่ได้กระทำและพวกเขาก็จะมีตัวตนโดยไม่ต้องขุด นี่เป็นสิ่งที่การบันทึกมีให้ในแง่ของการจัดหาหลักฐานทางนิติเวชเมื่อมีกิจกรรมที่เป็นอันตรายในคอมพิวเตอร์หรือเครือข่ายของคุณ
หากผู้ดูแลเครือข่ายไม่เปิดการบันทึกหรือไม่บันทึกเหตุการณ์ที่ถูกต้องการขุดค้นหลักฐานทางนิติวิทยาศาสตร์เพื่อระบุเวลาและวันที่หรือวิธีการในการเข้าถึงโดยไม่ได้รับอนุญาตหรือกิจกรรมที่เป็นอันตรายอื่น ๆ สามารถทำได้ยากเช่นเดียวกับการมองหาเข็มสุภาษิตใน กองหญ้า บ่อยครั้งที่รากเหง้าของการโจมตีไม่เคยถูกค้นพบ เครื่องที่ถูกแฮ็กหรือติดเชื้อได้รับการทำความสะอาดแล้วและทุกคนจะกลับมาทำธุรกิจได้ตามปกติโดยไม่ต้องรู้ว่าระบบได้รับการปกป้องอย่างดีกว่าที่เคยเป็นมาหรือไม่
แอ็พพลิเคชันบางอย่างล็อกอินโดยค่าเริ่มต้น เว็บเซิร์ฟเวอร์เช่น IIS และ Apache มักเข้าสู่ระบบการรับส่งข้อมูลทั้งหมด ส่วนใหญ่จะใช้เพื่อดูว่ามีคนเข้าชมเว็บไซต์จำนวนกี่คนใช้ที่อยู่ IP และข้อมูลประเภทเมตริกอื่น ๆ ในเว็บไซต์ แต่ในกรณีของเวิร์มเช่น CodeRed หรือ Nimda เว็บล็อกจะแสดงให้คุณเห็นเมื่อระบบที่ติดไวรัสพยายามเข้าถึงระบบของคุณเนื่องจากมีคำสั่งบางคำที่พยายามจะแสดงขึ้นในบันทึกว่าประสบความสำเร็จหรือไม่
ระบบบางระบบมีฟังก์ชั่นการตรวจสอบและบันทึกข้อมูลที่มีอยู่ในเครื่องนอกจากนี้คุณยังสามารถติดตั้งซอฟต์แวร์เพิ่มเติมเพื่อตรวจสอบและบันทึกการทำงานต่างๆในคอมพิวเตอร์ได้ (ดู เครื่องมือ ในกล่องลิงค์ด้านขวาของบทความนี้) ในเครื่อง Windows XP Professional มีตัวเลือกในการตรวจสอบเหตุการณ์การเข้าสู่ระบบบัญชีการจัดการบัญชีการเข้าถึงบริการไดเรกทอรีการเข้าสู่ระบบการเข้าถึงวัตถุการเปลี่ยนแปลงนโยบายสิทธิ์การใช้งานการติดตามกระบวนการและเหตุการณ์ระบบ
สำหรับแต่ละข้อคุณสามารถเลือกบันทึกความสำเร็จความล้มเหลวหรืออะไรก็ได้ การใช้ Windows XP Pro เป็นตัวอย่างถ้าคุณไม่ได้เปิดใช้งานการเข้าสู่ระบบเพื่อเข้าถึงวัตถุใด ๆ คุณจะไม่มีบันทึกเมื่อไฟล์หรือโฟลเดอร์ถูกเข้าถึงครั้งล่าสุด ถ้าคุณเปิดใช้งานการเข้าสู่ระบบโดยไม่ตั้งใจคุณจะมีบันทึกเมื่อมีผู้พยายามเข้าถึงไฟล์หรือโฟลเดอร์ แต่ล้มเหลวเนื่องจากไม่มีสิทธิ์หรือการให้สิทธิ์ที่เหมาะสม แต่คุณจะไม่มีบันทึกเมื่อผู้ใช้ที่ได้รับอนุญาตเข้าถึงไฟล์หรือโฟลเดอร์ .
เนื่องจากแฮ็กเกอร์อาจใช้ชื่อผู้ใช้และรหัสผ่านที่ร้าวรานอาจเข้าถึงไฟล์ได้สำเร็จ หากคุณดูบันทึกและพบว่า Bob Smith ได้ลบงบการเงินของ บริษัท ในเวลา 3:00 น. ในวันอาทิตย์อาจเป็นการสันนิษฐานได้ว่า Bob Smith กำลังหลับอยู่และนั่นอาจทำให้ชื่อผู้ใช้และรหัสผ่านของเขาถูกบุกรุก ไม่ว่าในกรณีใดตอนนี้คุณรู้ว่าเกิดอะไรขึ้นกับไฟล์และเมื่อใดและจะให้คุณเป็นจุดเริ่มต้นสำหรับการตรวจสอบว่าเกิดเหตุการณ์เช่นนี้ขึ้น
ความล้มเหลวและความสำเร็จของการบันทึกข้อมูลสามารถให้ข้อมูลและคำแนะนำที่เป็นประโยชน์ได้ แต่คุณต้องปรับการตรวจสอบและบันทึกข้อมูลต่างๆให้มีประสิทธิภาพของระบบ ใช้ตัวอย่างหนังสือจากเบื้องบนของมนุษย์ซึ่งจะช่วยให้นักวิจัยทราบว่าผู้คนเก็บบันทึกเรื่องราวของทุกคนที่พวกเขาติดต่อและเกิดอะไรขึ้นในระหว่างการปฏิสัมพันธ์ แต่จะทำให้คนช้าลง
ถ้าคุณต้องหยุดและเขียนว่าใครจะทำอย่างไรเมื่อไหร่และทุกครั้งที่คุณเผชิญหน้ากันทุกวันอาจส่งผลต่อผลผลิตของคุณอย่างรุนแรง เช่นเดียวกับการตรวจสอบและบันทึกกิจกรรมคอมพิวเตอร์ คุณสามารถเปิดใช้งานทุกความล้มเหลวที่เป็นไปได้และตัวเลือกบันทึกความสำเร็จและคุณจะมีบันทึกรายละเอียดมากของทุกอย่างที่เกิดขึ้นในคอมพิวเตอร์ของคุณ อย่างไรก็ตามคุณจะส่งผลกระทบต่อประสิทธิภาพการทำงานเนื่องจากตัวประมวลผลจะบันทึกรายการที่แตกต่างกัน 100 รายการในบันทึกทุกครั้งที่มีการกดปุ่มหรือคลิกเมาส์
คุณต้องพิจารณาว่าการบันทึกข้อมูลประเภทใดจะเป็นประโยชน์กับผลกระทบต่อประสิทธิภาพของระบบและมากับความสมดุลที่เหมาะสมกับคุณมากที่สุด คุณควรจำไว้ว่าเครื่องมือแฮ็กเกอร์และโปรแกรมม้าโทรจันเช่น Sub7 รวมถึงยูทิลิตีที่อนุญาตให้แก้ไขแฟ้มบันทึกเพื่อปกปิดการทำงานและซ่อนการบุกรุกเพื่อไม่ให้คุณล็อกไฟล์ได้ 100%
คุณสามารถหลีกเลี่ยงปัญหาด้านประสิทธิภาพและอาจเป็นปัญหาเกี่ยวกับการปกปิดเครื่องมือของแฮ็กเกอร์โดยการพิจารณาบางอย่างเมื่อตั้งค่าการบันทึก คุณจำเป็นต้องวัดขนาดไฟล์บันทึกที่จะได้รับและให้แน่ใจว่าคุณมีพื้นที่ว่างเพียงพอในฮาร์ดดิสก์ตั้งแต่แรกคุณจำเป็นต้องตั้งค่านโยบายว่าจะลบหรือลบบันทึกเก่าหรือถ้าคุณต้องการเก็บบันทึกข้อมูลเป็นรายวันรายสัปดาห์หรือระยะอื่น ๆ เพื่อให้คุณสามารถดูข้อมูลเก่า ๆ ได้เช่นกัน
ถ้าเป็นไปได้ที่จะใช้ฮาร์ดไดรฟ์และ / หรือคอนโทรลเลอร์ฮาร์ดดิสก์โดยเฉพาะคุณจะมีผลกระทบน้อยลงเนื่องจากสามารถบันทึกไฟล์บันทึกลงในดิสก์ได้โดยไม่ต้องต่อสู้กับแอ็พพลิเคชันที่คุณกำลังพยายามเรียกใช้เพื่อเข้าถึงไดรฟ์ ถ้าคุณสามารถนำไฟล์บันทึกไปยังคอมพิวเตอร์เครื่องอื่นได้ - โดยเฉพาะการจัดเก็บไฟล์บันทึกและการตั้งค่าความปลอดภัยที่ต่างกันทั้งหมดคุณอาจสามารถปิดกั้นความสามารถในการแก้ไขหรือลบไฟล์บันทึกของผู้บุกรุกได้เช่นกัน
โน้ตสุดท้ายคือคุณไม่ควรรอจนกว่าจะถึงเวลาที่สายเกินไปและระบบของคุณมีปัญหาหรือถูกบุกรุกก่อนที่จะดูบันทึก ควรอ่านบันทึกเป็นระยะ ๆ เพื่อให้คุณทราบว่าอะไรเป็นเรื่องปกติและสร้างพื้นฐาน ด้วยวิธีการนี้เมื่อคุณเจอรายการที่ผิดพลาดคุณสามารถจดจำพวกเขาได้เช่นนี้และทำตามขั้นตอนเชิงรุกเพื่อทำให้ระบบของคุณแข็งตัวมากกว่าที่จะทำการสืบสวนทางนิติวิทยาศาสตร์หลังจากที่สายเกินไป
