操作系统允许把各种各样的事件记入到日志文件中。从安全的角度考虑,我们可能关心的事件包括网络错误,对特定数据文件(例如,配置文件或NT注册表)的访问,对一些特定的程序(例如,在UNIX系统中使用su命令,可用来将自己变成另一个用户,通常是root用户)的调用。
日志文件可以帮助我们在出错的时候检测错误或者恶意操作。如果在注意到问题之后检查它们,它们还可以告诉我们一个问题或者非法入侵是如何发生的。日志文件有两个主要问题:大小和准确性。
如果将检测和记录问题的条件设置为最极端的情况,最终将得到庞大的日志文件而难以检查。要帮助整理庞大的日志文件,可能需要使用一个现存的工具或者从安全政策中得到的审计脚本,这样就可以在日志中搜索“感兴趣”的事件。审计过程可以实时发生,也可以定期发生。
特别情况下,日志文件容易受到攻击。如果入侵者拥有系统的root用户权限或管理员权限,他就可以随意修改日志文件以掩饰行踪。UNIX可以将事件记录到一个独立的机器中。
这意味着一个入侵者必须控制至少两台机器才能掩饰行踪。类似的功能在NT中也可以实现,但是没有在UNIX下实现容易。
系统管理员可以进行定期审计。但是我们可能还要一个外部的审计人员定期检查管理员的操作。