Файл регистрации событий, или Лог-файл выполняет функцию «немого свидетеля», т. к. регистрируя события, которые происходят в операционной системе или на веб-сервере, он ничему не позволяет остаться незамеченным. О каждом действии пользователя или зло-умышленника, о каждой возникающей в системе ошибке, о каждой попытке получения до-ступа к веб-серверу делается соответствующая запись, позволяющая впоследствии восстано-вить истинную картину произошедшего.
В настоящем учебном пособии произведен анализ информации, сохраняемой в лог-файлах операционных систем, ее интерпретация с точки зрения безопасности и информатив-ности при расследовании компьютерных инцидентов. Показана методика организации логи-рования процессов операционной системы на соответствие ее специальным требованиям стандарта безопасности данных.
Данное пособие демонстрирует технологию исследования информации в лог-файлах на конкретных примерах. Исследование лог-файлов имеет некоторые, присущие только ей особенности. На этой основе в данном учебном пособии, на основании практических приме-ров, составлены рекомендации, позволяющие использовать лог-файлы в качестве доказа-тельств. Работа была подготовлена с целью реализации данных рекомендаций в учебном процессе. Материалы учебного пособия помогут в понимании необходимости приобщения лог-файлов в качестве доказательства по компьютерному инциденту и позволят приобрести практические навыки при их исследовании.
Учебное пособие, прежде всего, ориентировано на преподавателей дисциплины «Си-стемы автоматизированного управления», но также может использоваться и для самостоя-тельного изучения механизмов журналирования в операционных системах и их исследова-нии.