Анализаторы журналов
Файлы журналов, генерируемые сетевыми экранами, маршрутизаторами, системами обнаружения вторжений, почтовыми серверами и веб-серверами, полезны только в том случае, если вы их изучаете, однако многие системные администраторы просматривают их лишь поверхностно. В действительности журналы являются ценнейшими источниками информации о трафике и сетевой активности.
Анализаторы журналов часто являются ключевыми компонентами систем IDS, однако в случаях с большими сетями требуется очень мощный анализатор. Как говорилось в лекции 5, функции IIS выходят за рамки ведения журналов событий или мониторинга производительности Windows 2000. Даже небольшой сайт может сгенерировать значительный объем информации, который невозможно обработать вручную. Как обнаружить в файле журнала, фиксирующего действия пользователей, наличие учетной записи начальника отдела продаж, используемой для доступа к записям о клиентах в то время, когда он находится в отпуске? В сетевой среде с десятками, сотнями или тысячами узлов даже специализированный персонал сетевых администраторов не сможет обработать гигабайты данных, сгенерированных во время использования сети. Анализаторы журналов представляют собой наилучший способ выполнения этой работы.
