Snort JP代表の渡辺氏による解説。
大半はArgusの解説でしたが、なかなかよさそうです。

Audit TrailとNetwork Forensicsとの関係:インシデント前後のトラフィックを調べることで、インシデントとの関連性を見出す。

というもののようです。
そのためのツールとしてArgusを紹介されたという筋。

Argus(Audit Record Generation and Utilization System)
http://www.qosient.com/argus/index.htm

ちなみにこいつのライセンスはIBM Public Licenseの派生版*1です。

問題は、日本語の資料が少ない（ほとんどない？）というあたりですが、wakatono的にはユーザもまだそんなに多くないようなので、これからかなーと思ってます。