如何使用日志数据进行法医学分析

太阳风日志；Event Manager拥有尖端的IT搜索功能，可实现快速简便的法医分析。这里有六种方法可以帮助我们更好地利用Log&amp；事件管理器可以帮助你拼凑真正发生的事情。

 

您可以下载免费的、功能齐全的Log&amp；这里的活动经理。

 

在收集日志时，您将看到数以百万计的文件更改。你怎么知道该隔离哪些人？最好将文件更改与关键文件（受保护的文档、财务信息、个人文档、人力资源记录等）隔离开来。

从法医学角度查看文件更改，以确定是否发生了可疑活动。通常情况下，病毒会影响文件属性更改，例如权限更改。这可能允许检索密码等信息，导致未经授权的文件或网络访问。

法医分析可以帮助您确定文件是否已更改、何时更改以及谁进行了更改。

 

您可以使用历史数据映射用户活动，将事件日志链接在一起。您可以查看一个用户、一组帐户或特定类型帐户的活动。

使用Log&amp；Event Manager可从数百台设备收集日志，因此可以轻松地汇总日志数据，以显示事件、权限更改等。法医分析功能允许您快速识别正在调查的帐户中的任何异常情况。

监控流量日志非常简单，只需询问为什么一个IP地址的出站流量过多。如果你有关于IP地址的详细信息，你可以很快意识到增加的流量是可疑的，除非你知道IP被允许对外通信。

流量日志包含源、目标、端口和协议详细信息。您可以使用这些信息来确定异常是否可以忽略，或者是否值得调查。

 

所有身份验证和访问日志都收集在日志&amp；活动经理。通过法医分析，您可以快速查看是否有人获得了未经授权的访问，是否有单个帐户多次尝试，或者尝试的IP地址是否可疑。

您还可以按不属于授权帐户列表或不在AD中的帐户进行筛选。识别异常访问活动的最简单方法之一是查找不属于您的IP地址。

如果你开始看到外部或不同类型的IP地址，那么你知道这是需要调查的。

 

你的监控技术会让你在登录前知道有一个中断&amp；活动经理会的。监控技术将显示哪个系统发生了故障，并可能提供一些额外的数据。但日志将包含更多细节。

从法医学分析方法来看，您将使用日志作为违规行为的证据，或确定根本原因（即，您将能够看到在中断发生前30秒安装了一个软件）。

例外情况、警告、文件更改等都会被记录下来，以便您可以将其用作停机原因的证据。

 

告别复杂的问题。一般来说，进行法医分析是一种更快、更简单的事故响应方式。你获取数据的速度越快越好。

日志和；事件管理器的帮助是，不需要构建复杂的查询来获取数据。通常情况下，你的反应如此之快，以至于你没有时间进行复杂的搜索来大海捞针。

更好的方法是识别您拥有的信息（此IP、此警告、此异常等），并将其插入搜索，查看您可以从日志数据中找到什么。

日志和；Event Manager会显示信息，以便快速扫描并找到不同寻常的内容，这样您就可以从那里开始深入了解。

 

Log&amp；活动经理：