10. Problemlösung 2: Revisionssichere Speicherung von Logdaten May 27 17:45:21 pluto sshd[18206]: Accepted publickey for root from 10.1.1.1 port 25436 ssh2 Indexierter Logstore
11.
12. Problemlösung 3: Leistungsfähige Filter und Suchmöglichkeiten Linux: Accepted publickey for admin from 10.1.1.1 port 25436 ssh2 Juniper: Password authentication successful for admin user 'Peter' at host 192.168.3.1. Fortigate: user=admin ui=GUI action=login status=success reason=none msg="User admin login accepted from GUI" Alle Events aus Subnetz A Logstore A Ext. Analysesystem Failed Login Events Login/Logout-Events Logstore B
14. Alle Probleme gelöst? Wenn der Administrator das Logging auf dem Client abschaltet oder manipuliert, ... … dann bleibt uns nicht viel mehr das Login-Event und eine Mühsame Suche in Speicher- und Diskabbildern … … oder ...