Protokoły systemowe

Jedno z najtrudniejszych do opanowania źródeł danych o zdarzeniach, z którymi będziemy musieli pracować, pochodzi ze wspaniałego świata protokołów systemowych, czyli z usługi syslog. Informacje z tego protokołu szczególnie przydatne są w środowiskach, w których ruch sieciowy generowany przez aplikacje jest szyfrowany i nie może zostać przeanalizowany w procesie inspekcji pakietów. Co więcej, w wielu przypadkach protokoły systemowe mogą okazać się jedynym źródłem danych.

Zbieranie zdarzeń z protokołów systemowych jest nie tylko jedną z zalecanych praktyk, ale również podstawą wielu standardów bezpieczeństwa oraz regulacji rządowych takich jak ustawa FISMA (Federal Information Security Management Act) z roku 2002, ustawa GLBA ...