نأمل أن تحافظ على أجهزة الكمبيوتر الخاصة بك مصححة ومحدثة وأن شبكتك آمنة. ومع ذلك ، فمن الحتمي إلى حد ما أن تصاب بنوبة ضارة في مرحلة ما - فيروس أو دودة أو حصان طروادة أو هجوم عشوائي أو غير ذلك. عندما يحدث ذلك ، إذا كنت قد فعلت الأشياء الصحيحة قبل الهجوم ، فسوف تقوم بعمل تحديد متى وكيف نجح الهجوم أكثر سهولة.
إذا كنت قد شاهدت البرنامج التلفزيوني "CSI" أو أي برنامج تلفزيوني أو برنامج تلفزيوني آخر ، فأنت تعلم أنه حتى مع أنحف دليل الأدلة الجنائية يمكن للمحققين التعرف على مرتكب الجريمة وتتبعه والقبض عليه.
ولكن ، أليس من اللطيف إذا لم يكن لديهم لفحص الألياف للعثور على الشعر الذي ينتمي بالفعل إلى الجاني وإجراء اختبار الحمض النووي لتحديد صاحبها؟ ماذا لو كان هناك سجل تم الاحتفاظ به لكل شخص ممن اتصلت به ومتى؟ ماذا لو كان هناك سجل يحتفظ بما تم فعله لذلك الشخص؟
إذا كان الأمر كذلك ، فقد يكون المحققون مثل أولئك في "CSI" عاطلين عن العمل. الشرطة ستعثر على الجثة ، وتحقق من السجل لمعرفة من كان آخر من اتصل بالمتوفى وما تم فعله وكان لديهم بالفعل هوية دون الحاجة إلى الحفر. هذا هو ما يوفره التسجيل من حيث توفير الأدلة الجنائية عندما يكون هناك نشاط ضار على جهاز الكمبيوتر أو الشبكة.
إذا لم يقم مسؤول الشبكة بتشغيل التسجيل أو لم يسجل الأحداث الصحيحة ، فإن عملية البحث عن الأدلة الجنائية لتحديد الوقت والتاريخ أو طريقة الوصول غير المصرح به أو أي نشاط ضار آخر يمكن أن يكون صعباً مثل البحث عن الإبرة الموضعية في كومة قش. في كثير من الأحيان لا يتم اكتشاف السبب الجذري لهجوم. يتم تنظيف الأجهزة التي تم اختراقها أو المصابة ، ويعود الجميع إلى العمل كالمعتاد دون معرفة حقيقة ما إذا كانت الأنظمة محمية بشكل أفضل مما كانت عليه عندما تم ضربهم في المقام الأول.
تقوم بعض التطبيقات بتسجيل الأشياء بشكل افتراضي. تقوم خوادم الويب مثل IIS و Apache بتسجيل جميع حركة المرور الواردة بشكل عام. يُستخدم هذا بشكل أساسي لمعرفة عدد الأشخاص الذين زاروا موقع الويب ، وما عنوان IP الذي استخدموه والمعلومات الأخرى المتعلقة بالمقاييس فيما يتعلق بموقع الويب. ولكن في حالة الديدان مثل CodeRed أو Nimda ، يمكن أن تظهر لك مدونات الويب أيضًا عندما تحاول الأنظمة المصابة الوصول إلى النظام الخاص بك لأن لديهم أوامر معينة يحاولون ظهورها في السجلات سواء كانت ناجحة أم لا.
تحتوي بعض الأنظمة على وظائف متنوعة للتدقيق والتسجيل. يمكنك أيضًا تثبيت برامج إضافية لمراقبة وتسجيل الإجراءات المختلفة على الكمبيوتر (راجع أدوات في مربع الارتباط إلى يمين هذه المقالة). على جهاز Windows XP Professional ، توجد خيارات تدوين أحداث تسجيل الدخول إلى الحساب ، وإدارة الحسابات ، والوصول إلى خدمة الدليل ، وأحداث تسجيل الدخول ، والوصول إلى الكائن ، وتغيير السياسة ، واستخدام الامتياز ، وتتبع العمليات ، وأحداث النظام.
لكل واحد من هذه ، يمكنك اختيار تسجيل النجاح أو الفشل أو لا شيء. باستخدام Windows XP Pro كمثال ، إذا لم تقم بتمكين أي تسجيل للوصول إلى الكائنات ، فلن يكون لديك سجل عن آخر مرة تم فيها الوصول إلى ملف أو مجلد. إذا قمت بتمكين تسجيل الفشل فقط ، فسيكون لديك سجلاً عندما حاول شخص ما الوصول إلى الملف أو المجلد ولكنه فشل بسبب عدم وجود الأذونات أو التخويل المناسب ، ولكنك لن تمتلك سجلاً عندما يقوم مستخدم مخول بالوصول إلى الملف أو المجلد .
نظرًا لأن المتسلل قد يستخدم اسم مستخدم وكلمة مرور متصدعين ، فقد يتمكنان من الوصول إلى الملفات بنجاح. إذا شاهدت السجلات واكتشف أن بوب سميث حذف البيان المالي للشركة في الساعة الثالثة صباحًا يوم الأحد ، فقد يكون من الأسلم افتراض أن بوب سميث كان نائمًا وربما تم اختراق اسم المستخدم وكلمة المرور. على أي حال ، أنت الآن تعرف ما حدث للملف ومتى ، وتمنحك نقطة انطلاق للتحقيق في كيفية حدوثه.
يمكن أن يوفر كل من تسجيل الأخطاء والفشل معلومات ومفاتيح مفيدة ، ولكن يجب عليك موازنة أنشطة المراقبة والتسجيل مع أداء النظام. باستخدام مثال كتاب السجل البشري من فوق ، سيساعد المحققون إذا احتفظ الناس بسجل لكل من كانوا على اتصال به وما حدث أثناء التفاعل ، ولكنه سيؤدي بالتأكيد إلى إبطاء الناس.
إذا كان عليك أن تتوقف وتكتب من ، ماذا ومتى لكل لقاء كان لديك كل يوم قد يؤثر بشدة على إنتاجيتك. نفس الشيء ينطبق على رصد وتسجيل نشاط الكمبيوتر. يمكنك تمكين كل إخفاق ممكن وخيار تسجيل النجاح وسيكون لديك سجل تفصيلي للغاية لكل ما يدور في جهاز الكمبيوتر الخاص بك. ومع ذلك ، ستؤثر بشكل كبير على الأداء لأن المعالج سيكون مشغولاً بتسجيل 100 إدخال مختلف في السجلات في كل مرة يقوم فيها شخص ما بالضغط على زر أو النقر فوق الماوس.
عليك أن تزن ما هي أنواع التسجيلات التي ستكون مفيدة مع تأثير ذلك على أداء النظام وتؤدي إلى التوازن الذي يناسبك. يجب أن تضع في اعتبارك أيضًا أن العديد من أدوات hacker وبرامج Trojan horse مثل Sub7 تتضمن أدوات مساعدة تسمح لهم بتعديل ملفات السجل لإخفاء أفعالهم وإخفاء التطفل بحيث لا يمكنك "الاعتماد 100٪ على ملفات السجل.
يمكنك تجنب بعض مشكلات الأداء ، وربما مشكلات إخفاء أدوات hacker من خلال أخذ بعض الأشياء بعين الاعتبار عند إعداد تسجيل الدخول. تحتاج إلى قياس حجم ملفات السجل وستتأكد من وجود مساحة كافية على القرص في المقام الأول.تحتاج أيضًا إلى إعداد سياسة لمعرفة ما إذا كان سيتم استبدال أو حذف السجلات القديمة أو إذا كنت تريد أرشفة السجلات على أساس يومي أو أسبوعي أو آخر بحيث يكون لديك بيانات قديمة لتعيد النظر فيها أيضًا.
إذا كان من الممكن استخدام محرك قرص ثابت مخصص و / أو وحدة تحكم في القرص الصلب ، فسيكون لديك تأثير أقل في الأداء نظرًا لأنه يمكن كتابة ملفات السجل على القرص دون الحاجة إلى القتال مع التطبيقات التي تحاول تشغيلها للوصول إلى محرك الأقراص. إذا كان بإمكانك توجيه ملفات السجل إلى جهاز كمبيوتر منفصل - ربما يكون مخصصًا لتخزين ملفات السجل ومع إعدادات أمان مختلفة تمامًا - فقد تتمكن من حظر قدرة المتسلل على تغيير ملفات السجل أو حذفها أيضًا.
ملاحظة أخيرة هي أنه يجب عليك عدم الانتظار حتى يفوت الأوان وأن النظام الخاص بك قد تعطل بالفعل أو تعرض للخطر قبل عرض السجلات. من الأفضل مراجعة السجلات دوريًا حتى تتمكن من معرفة ما هو طبيعي وإنشاء خط الأساس. بهذه الطريقة ، عندما تصادفك إدخالات خاطئة ، يمكنك التعرف عليها على هذا النحو واتخاذ خطوات استباقية لتقوية نظامك بدلاً من القيام بالتحقيق الجنائي بعد فوات الأوان.
