ທ່ານຕ້ອງວາງແຜນທີ່ຈະຄາດຫມາຍຈັບຜູ້ບຸກລຸກ
ຫວັງວ່າທ່ານຈະຮັກສາຄອມພິວເຕີຂອງທ່ານທີ່ຖືກປັບປຸງແລະປັບປຸງແລະເຄືອຂ່າຍຂອງທ່ານປອດໄພ. ຢ່າງໃດກໍ່ຕາມ, ມັນເປັນເລື່ອງທີ່ບໍ່ສາມາດທີ່ທ່ານຈະຢູ່ໃນບາງຈຸດທີ່ຖືກຕີກັບກິດຈະກໍາທີ່ເປັນອັນຕະລາຍ - ໄວຣັສ , ແມ່ພະຍາດ , ມ້າ Trojan , ການໂຈມຕີ hack ຫຼືຖ້າບໍ່ດັ່ງນັ້ນ. ໃນເວລາທີ່ມັນເກີດຂຶ້ນ, ຖ້າທ່ານໄດ້ເຮັດສິ່ງທີ່ຖືກຕ້ອງກ່ອນການໂຈມຕີ, ທ່ານຈະເຮັດວຽກທີ່ກໍານົດເວລາແລະວິທີການໂຈມຕີທີ່ປະສົບຜົນສໍາເລັດຫຼາຍກວ່ານັ້ນ.
ຖ້າທ່ານເຄີຍເບິ່ງທີວີທີວີ CSI , ຫຼືພຽງແຕ່ກ່ຽວກັບສະຖານີຕໍາຫຼວດຫຼືໂທລະພາບທາງດ້ານກົດຫມາຍອື່ນໆ, ທ່ານຮູ້ວ່າເຖິງແມ່ນວ່າມີຫຼັກຖານພິເສດທີ່ນ້ອຍທີ່ສຸດ, ຜູ້ສືບສວນສາມາດກໍານົດ, ຕິດຕາມແລະຈັບຕົວຜູ້ຜິດຂອງອາຊະຍາກໍາ.
ແຕ່ວ່າ, ມັນຈະບໍ່ດີຖ້າພວກເຂົາບໍ່ຈໍາເປັນຕ້ອງຜ່ານເສັ້ນໄຍເພື່ອຊອກຫາຜົມທີ່ແທ້ຈິງເປັນຂອງຜູ້ທີ່ຜິດແລະເຮັດການທົດສອບ DNA ເພື່ອລະບຸຕົວເຈົ້າຂອງບໍ? ຈະເປັນແນວໃດຖ້າມີບັນທຶກໄວ້ໃນແຕ່ລະບຸກຄົນຂອງຜູ້ທີ່ເຂົາເຈົ້າຕິດຕໍ່ມາແລະເວລາໃດ? ຈະເປັນແນວໃດຖ້າຫາກວ່າມີບັນທຶກເກັບຮັກສາໄວ້ຂອງສິ່ງທີ່ໄດ້ເຮັດກັບບຸກຄົນນັ້ນ?
ຖ້າຫາກວ່າເປັນກໍລະນີ, ນັກສືບເຊັ່ນ: ຜູ້ທີ່ຢູ່ໃນ CSI ອາດຈະບໍ່ມີທຸລະກິດ. ຕໍາຫຼວດຈະຊອກຫາຮ່າງກາຍ, ກວດເບິ່ງການບັນທຶກເພື່ອເບິ່ງຜູ້ທີ່ເຂົ້າມາຕິດຕໍ່ກັບຜູ້ຕາຍແລະສິ່ງທີ່ເຮັດແລ້ວແລະພວກເຂົາຈະມີຕົວຕົນໂດຍບໍ່ຕ້ອງຂຸດຂຸມ. ນີ້ແມ່ນສິ່ງທີ່ການຂຸດຄົ້ນໃຫ້ຢູ່ໃນເງື່ອນໄຂຂອງການສະຫນອງຫຼັກຖານ forensic ໃນເວລາທີ່ມີກິດຈະກໍາທີ່ເປັນອັນຕະລາຍໃນຄອມພິວເຕີຫຼືເຄືອຂ່າຍຂອງທ່ານ.
ຖ້າຜູ້ເບິ່ງແຍງລະບົບເຄືອຂ່າຍບໍ່ເປີດການເຂົ້າສູ່ລະບົບຫຼືບໍ່ເຂົ້າເຫດການທີ່ຖືກຕ້ອງ, ການຂຸດຄົ້ນຫຼັກຖານທາງດ້ານກົດຫມາຍເພື່ອກໍານົດເວລາແລະວັນທີຫຼືວິທີການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຫຼືກິດຈະກໍາທີ່ເປັນອັນຕະລາຍອື່ນສາມາດຫາຍາກເຊັ່ນດຽວກັບການຊອກຫາໃບເຂັມສອງໃບ haystack ສ່ວນໃຫຍ່ແມ່ນສາເຫດຂອງການໂຈມຕີທີ່ບໍ່ເຄີຍພົບ. ເຄື່ອງຄອມພິວເຕີທີ່ຖືກ Hacked ຫຼືຕິດເຊື້ອໄດ້ຖືກອະນາໄມແລະທຸກຄົນຈະກັບຄືນສູ່ທຸລະກິດຕາມປົກກະຕິໂດຍບໍ່ຮູ້ແທ້ໆວ່າລະບົບການປ້ອງກັນໃດກໍ່ດີກ່ວາເມື່ອພວກເຂົາຖືກໂຈມຕີຢູ່ໃນສະຖານທີ່ທໍາອິດ.
ບາງແອບພິເຄຊັນເຂົ້າບັນທຶກສິ່ງຕ່າງໆຕາມຄ່າເລີ່ມຕົ້ນ. ເຄື່ອງແມ່ຂ່າຍເວັບຄ້າຍຄື IIS ແລະ Apache ໂດຍທົ່ວໄປເຂົ້າສູ່ລະບົບເຂົ້າຊົມທັງຫມົດ. ນີ້ແມ່ນສ່ວນໃຫຍ່ໃຊ້ເພື່ອເບິ່ງວ່າມີຜູ້ເຂົ້າຊົມເວັບໄຊທ໌ໃດ, ທີ່ ຢູ່ IP ຂອງ ພວກເຂົາແລະຂໍ້ມູນແບບຕາຕະລາງອື່ນໆກ່ຽວກັບເວັບໄຊທ໌. ແຕ່ໃນກໍລະນີຂອງແມ່ທ້ອງເຊັ່ນ CodeRed ຫຼື Nimda, ບັນທຶກເວັບສາມາດສະແດງໃຫ້ທ່ານເຫັນໃນເວລາທີ່ລະບົບການຕິດເຊື້ອພະຍາຍາມເຂົ້າເຖິງລະບົບຂອງທ່ານເພາະວ່າພວກເຂົາມີຄໍາສັ່ງບາງຢ່າງທີ່ພວກເຂົາພະຍາຍາມທີ່ຈະສະແດງຢູ່ໃນບັນທຶກວ່າພວກເຂົາຈະປະສົບຜົນສໍາເລັດຫຼືບໍ່.
ບາງລະບົບມີການກວດສອບແລະການຕິດຕັ້ງຕ່າງໆໃນການເຮັດວຽກ. ທ່ານຍັງສາມາດຕິດຕັ້ງຊອບແວເພີ່ມເຕີມເພື່ອຕິດຕາມແລະເຂົ້າບັນດາກິດຈະກໍາຕ່າງໆໃນຄອມພິວເຕີ (ເບິ່ງ ເຄື່ອງມື ໃນກ່ອງເຊື່ອມຕໍ່ຢູ່ດ້ານຂວາຂອງບົດຄວາມນີ້). ໃນເຄື່ອງ Windows XP Professional ມີທາງເລືອກໃນການກວດສອບບັນຊີເຫດການເຂົ້າບັນຊີ, ການຄຸ້ມຄອງບັນຊີ, ການເຂົ້າເຖິງບໍລິການ Directory, ເຫດການເຂົ້າສູ່ລະບົບ, ການເຂົ້າເຖິງວັດຖຸ, ການປ່ຽນແປງນະໂຍບາຍ, ການໃຊ້ສິດ, ການຕິດຕາມແລະເຫດການລະບົບ.
ສໍາລັບແຕ່ລະຄົນນີ້ທ່ານສາມາດເລືອກທີ່ຈະເຂົ້າບັນທຶກຄວາມສໍາເລັດ, ຄວາມລົ້ມເຫລວຫຼືບໍ່ມີຫຍັງ. ການນໍາໃຊ້ Windows XP Pro ເປັນຕົວຢ່າງ, ຖ້າທ່ານບໍ່ເປີດໃຊ້ການເຂົ້າສູ່ລະບົບສໍາລັບການເຂົ້າເຖິງວັດຖຸ, ທ່ານຈະບໍ່ມີບັນທຶກເວລາທີ່ໄຟລ໌ຫຼືໂຟນັສໄດ້ເຂົ້າເຖິງຄັ້ງສຸດທ້າຍ. ຖ້າທ່ານເປີດໃຊ້ຂໍ້ຄວາມລົ້ມເຫລວທ່ານຈະມີບັນທຶກເວລາທີ່ຜູ້ໃດພະຍາຍາມເຂົ້າເຖິງໄຟລ໌ຫຼືໂຟນເດີແຕ່ບໍ່ສາມາດມີສິດອະນຸຍາດຫຼືການອະນຸຍາດທີ່ເຫມາະສົມແຕ່ທ່ານຈະບໍ່ມີບັນທຶກເວລາທີ່ຜູ້ໃຊ້ທີ່ຖືກຕ້ອງເຂົ້າເຖິງໄຟລ໌ຫຼືໂຟນເດີ ທີ່ຢູ່
ເນື່ອງຈາກວ່າແຮກເກີອາດຈະໃຊ້ຊື່ຜູ້ໃຊ້ທີ່ຂີ້ເຫຍື້ອແລະລະຫັດຜ່ານພວກເຂົາອາດຈະສາມາດເຂົ້າເຖິງໄຟລ໌ໄດ້ຢ່າງສໍາເລັດຜົນ. ຖ້າທ່ານເບິ່ງບັນທຶກແລະເບິ່ງວ່າ Bob Smith ໄດ້ລຶບຄໍາຖະແຫຼງການຂອງບໍລິສັດຢູ່ 3 ໂມງເຊົ້າວັນອາທິດ, ມັນອາດຈະປອດໄພທີ່ຈະຄິດວ່າ Bob Smith ນອນຫລັບແລະບາງທີອາດມີຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຂອງລາວໄດ້ຮັບການ ສໍ້ລາດບັງຫຼວງ . ໃນກໍລະນີໃດກໍ່ຕາມ, ທ່ານຮູ້ວ່າສິ່ງທີ່ເກີດຂຶ້ນກັບໄຟລ໌ແລະເວລາແລະມັນຈະເຮັດໃຫ້ທ່ານມີຈຸດເລີ່ມຕົ້ນສໍາລັບການກວດສອບວິທີການທີ່ມັນເກີດຂຶ້ນ.
ທັງການລົ້ມເຫລວແລະການເຂົ້າສູ່ລະບົບສົບຜົນສໍາເລັດສາມາດສະຫນອງຂໍ້ມູນທີ່ເປັນປະໂຫຍດແລະຂໍ້ຄຶດ, ແຕ່ທ່ານຕ້ອງດຸ່ນດ່ຽງກິດຈະກໍາຕິດຕາມແລະເຂົ້າສູ່ລະບົບດ້ວຍການປະຕິບັດລະບົບ. ການນໍາໃຊ້ຕົວຢ່າງຂອງປື້ມບັນທຶກຂອງມະນຸດຈາກຂ້າງເທິງນັ້ນຈະຊ່ວຍໃຫ້ຜູ້ສືບສວນຖ້າຫາກວ່າປະຊາຊົນເກັບຮັກສາບັນທຶກຂອງທຸກໆຄົນທີ່ເຂົາເຈົ້າຕິດຕໍ່ແລະສິ່ງທີ່ເກີດຂື້ນໃນລະຫວ່າງການພົວພັນ, ແຕ່ວ່າມັນກໍ່ເຮັດໃຫ້ປະຊາຊົນຊ້າລົງ.
ຖ້າທ່ານຕ້ອງຢຸດແລະຂຽນຜູ້ທີ່, ເວລາແລະເວລາສໍາລັບການປະເຊີນຫນ້າທຸກໆມື້ທ່ານອາດຈະມີຜົນກະທົບຢ່າງຫນັກຕໍ່ຜົນຜະລິດຂອງທ່ານ. ສິ່ງດຽວກັນແມ່ນຄວາມຈິງຂອງການຕິດຕາມແລະການເຂົ້າສູ່ລະບົບຄອມພິວເຕີ້. ທ່ານສາມາດເຮັດໃຫ້ທຸກຕົວເລືອກບັນທຶກຄວາມລົ້ມເຫລວແລະຄວາມສໍາເລັດທີ່ເປັນໄປໄດ້ແລະທ່ານຈະມີບັນທຶກລາຍລະອຽດທີ່ສຸດກ່ຽວກັບທຸກສິ່ງທີ່ເຮັດໃນຄອມພິວເຕີຂອງທ່ານ. ຢ່າງໃດກໍຕາມ, ທ່ານຈະມີຜົນກະທົບຢ່າງຮ້າຍແຮງເນື່ອງຈາກວ່າໂປເຊດເຊີຈະມີການບັນທຶກ 100 ລາຍທີ່ແຕກຕ່າງກັນໃນບັນທຶກເມື່ອມີຄົນກົດປຸ່ມຫຼືກົດຫນູຂອງເຂົາເຈົ້າ.
ທ່ານຕ້ອງໄດ້ພິຈາລະນາວ່າການຕັດໄມ້ທ່ອນໃດຈະເປັນປະໂຫຍດກັບຜົນກະທົບຕໍ່ການປະຕິບັດລະບົບແລະມີຄວາມສົມດຸນທີ່ເຮັດວຽກທີ່ດີທີ່ສຸດສໍາລັບທ່ານ. ນອກນັ້ນທ່ານຍັງຄວນລະວັງວ່າເຄື່ອງມື hacker ຫຼາຍແລະໂຄງການມ້າ Trojan ເຊັ່ນ: Sub7 ປະກອບມີສາທານນູປະໂພກທີ່ອະນຸຍາດໃຫ້ພວກເຂົາປ່ຽນໄຟລ໌ບັນທຶກເພື່ອປົກປິດການກະທໍາຂອງພວກເຂົາແລະຊ່ອນການລະເມີດດັ່ງນັ້ນທ່ານບໍ່ສາມາດໃຊ້ 100% ໃນໄຟລ໌ log.
ທ່ານສາມາດຫລີກລ້ຽງບາງບັນຫາປະສິດທິພາບແລະອາດຈະເປັນບັນຫາການຂັດຂວາງເຄື່ອງມື hacker ໂດຍການເອົາບາງສິ່ງບາງຢ່າງເຂົ້າໄປໃນການພິຈາລະນາໃນການຕັ້ງຄ່າການເຂົ້າຂອງທ່ານ. ທ່ານຈໍາເປັນຕ້ອງໄດ້ວັດແທກວິທີການຂະຫນາດໃຫຍ່ຂອງໄຟລ໌ log ຈະໄດ້ຮັບແລະໃຫ້ແນ່ໃຈວ່າທ່ານມີພື້ນທີ່ດິດພຽງພໍໃນສະຖານທີ່ທໍາອິດ. ນອກນັ້ນທ່ານຍັງຕ້ອງສ້າງນະໂຍບາຍວ່າບັນທຶກເກົ່າຈະຖືກ overwrite ຫຼືລຶບຫຼືຖ້າທ່ານຕ້ອງການເກັບບັນທຶກຂໍ້ມູນກ່ຽວກັບບັນດາປະຈໍາວັນ, ອາທິດຫຼືອື່ນໆຕາມປົກກະຕິເພື່ອໃຫ້ທ່ານມີຂໍ້ມູນທີ່ເກົ່າແກ່ທີ່ຈະເບິ່ງຄືນອີກ.
ຖ້າຫາກວ່າມັນເປັນໄປໄດ້ທີ່ຈະໃຊ້ອຸປະກອນຮາດດິສທີ່ອຸທິດແລະ / ຫຼືຄວບຄຸມຮາດໄດ, ທ່ານຈະມີຜົນກະທົບຫນ້ອຍທີ່ສຸດເພາະວ່າໄຟລ໌ log ສາມາດຖືກຂຽນລົງໃນແຜ່ນດິດໂດຍບໍ່ຕ້ອງສູ້ກັບແອັບພລິເຄຼັດຕ່າງໆທີ່ທ່ານກໍາລັງພະຍາຍາມທີ່ຈະເຂົ້າຫາໄດ. ຖ້າທ່ານສາມາດນໍາໄຟລ໌ເຂົ້າໄປໃນເຄື່ອງຄອມພິວເຕີແຍກຕ່າງຫາກ - ອາດຈະອຸທິດຕົນໃນການຈັດເກັບໄຟລ໌ບັນທຶກແລະມີການຕັ້ງຄ່າຄວາມປອດໄພທີ່ແຕກຕ່າງກັນຢ່າງສິ້ນເຊີງ - ທ່ານອາດຈະສາມາດປ້ອງກັນຄວາມສາມາດຂອງຜູ້ບຸກລຸກໃນການປ່ຽນແປງຫຼືລຶບໄຟລ໌ເຂົ້າ.
ຫມາຍເຫດສຸດທ້າຍແມ່ນວ່າທ່ານບໍ່ຄວນລໍຖ້າຈົນກ່ວາມັນຊ້າເກີນໄປແລະລະບົບຂອງທ່ານຖືກບັນເທົາຫຼືຖືກປະຕິເສດກ່ອນທີ່ຈະເບິ່ງບັນທຶກ. ມັນເປັນການດີທີ່ສຸດທີ່ຈະທົບທວນບັນທຶກຂອງແຕ່ລະໄລຍະເພື່ອໃຫ້ທ່ານສາມາດຮູ້ໄດ້ວ່າເປັນຫຍັງປົກກະຕິແລະສ້າງພື້ນຖານ. ດັ່ງນັ້ນ, ໃນເວລາທີ່ທ່ານເຂົ້າມາໃນບັນດາຂໍ້ຜິດພາດທີ່ຜິດພາດ, ທ່ານສາມາດຮັບຮູ້ພວກເຂົາດັ່ງກ່າວແລະດໍາເນີນຂັ້ນຕອນທີ່ກ້າວຫນ້າເພື່ອເຮັດໃຫ້ລະບົບຂອງທ່ານແຂງແຮງແທນທີ່ຈະດໍາເນີນການສືບສວນ ດ້ານກົດຫມາຍ ຫຼັງຈາກທີ່ມັນຊັກຊ້າເກີນໄປ.