日志分析的重要性
所有的网络系统和设备,如Windows/Linux桌面和服务器,路由器,交换机,防火墙,代理服务器,VPN, IDS和其他网络资源产生日志的第二。这些日志包含在这些网络基础设施中发生的所有系统、设备和用户活动的信息。日志文件是调查组织安全状况的重要取证工具。对这些日志文件的分析提供了过多的用户级活动信息,如登录成功或失败、对象访问、网站访问;系统和设备级别的活动,如文件读取、写入或删除、主机会话状态、帐户管理、网络带宽消耗、协议和流量分配;以及网络安全活动,如识别病毒或攻击签名和网络异常。