Snort BoF(3)〜Audit Trail
Snort JP代表の渡辺氏による解説。
大半はArgusの解説でしたが、なかなかよさそうです。
Audit TrailとNetwork Forensicsとの関係:インシデント前後のトラフィックを調べることで、インシデントとの関連性を見出す。
というもののようです。
そのためのツールとしてArgusを紹介されたという筋。
Argus(Audit Record Generation and Utilization System)
http://www.qosient.com/argus/index.htm
ちなみにこいつのライセンスはIBM Public Licenseの派生版*1です。
問題は、日本語の資料が少ない(ほとんどない?)というあたりですが、wakatono的にはユーザもまだそんなに多くないようなので、これからかなーと思ってます。