Контролировать и анализировать протоколы событий вручную

минута на чтение

Контролировать и анализировать протоколы событий вручнуюКонтролировать и анализировать протоколы событий вручную — большая работа. Протоколы разных систем имеют разный синтаксис, что тоже не способствует «лучшему усвоению материала». Для решения этих проблем в сети можно найти достаточное количество разнообразных скриптов и бесплатно распространяемых программ. Однако более глубокий анализ данных может предоставить только коммерческая система, а для долговременного хранения информации потребуется выделенная для этой цели станция. Протоколы должны изучаться каждый день, главным образом на предмет выявления событий, затрагивающих безопасность сайта и требующих немедленного вмешательства. Если такое событие найдено, то администратору необходимо собрать всю сопутствующую информацию и приступить к «реализации» инцидента. Если в протоколе такие «тревожные» события не обнаружены, файл протокола может быть просто уничтожен или добавлен в соответствующий архив. Здесь необходимо лишний раз упомянуть о том, что чем больше разного рода событий протоколируется, тем ниже вероятность того, что «осторожные» попытки сканирования и растянутые во времени разведывательные действия останутся без внимания. Автоматизация процесса анализа протоколов — неплохая идея, но если только в этом процессе остается Человеку тот, который будет периодически оценивать справедливость выдаваемых автоматом предупреждений и отслеживать события, которые автоматом по какой-то причине не фиксируются. Кроме того, если вы все-таки решили автоматизировать анализ протоколов, убедитесь, что трафик контролируется на нескольких уровнях сетевой защиты. Например, чтобы в один прекрасный момент ваша собственная система вас не обманула, поставьте за межсетевым экраном IDS. Когда злоумышленник скомпрометирует экран и изменит протоколы, вы узнаете об этом раньше, чем получите первое ложное событие.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Хотя некоторые IDS способны автоматически контролировать изменения среды, эффективность этих систем не сравнима с элементарной аккуратностью людей, вручную вносящих изменения. В конечном итоге протоколирование изменений очень похоже на пошаговое резервное копи...
Контроль — главная составляющая администраторской работы. В рамках небольшого коммерческого сайта слежение за системами может производится Вручную. Разветвленная инфраструктура, в силу объема информации и распределенности систем, требует использования средств ...
Некоторые сетевые службы и протоколы способны достаточно четко определять свои потребности. Например, если использовать сервер RealAudio и при этом поставить себе цель одновременно обслуживать 100 пользователей на скорости 56 Кбит/с, то с запасом хватает канал...