gói,  những  nguòi phân tích log có thể không cần  đến  một
     hệ  thông phát hiện xâm  nhập.  Trong thực tế,  nếu  một sự
     kiện có thể được chỉ ra trong một file log hoàn chỉnh thì nó
     có thê  là  một sự xâm nhập.  Tuy nhiên,  trong đời thực thì
     việc  tìm  kiếm  từng  phần  trong  logs  đôi  khi  cũng  giá  trị
     như việc tìm kiếm từng phần trên đường dẫn.
          Thực  tê  thì  việc  đi  kèm  phân  tích  log  hệ  thống  với
     NIDS log là một đặt điểm rất có ích đốì vói người phân tích
     log.  Người  phân  tích  sẽ  nhìn  thấy  được  nhiều  hơn  là  chỉ
     nhìn  trên  đường  dẫn  và  tạo  ra  các  chức  năng  của  meta
     IDS.  Ví  dụ  như,  giải  pháp  quản  lý  như  netPorensics  cho
     phép  phân  tích  log  qua  các  thiết  bị,  bình  thường  hóa  và
     liên kết chúng (bằng các phần dựa trên rule) sau đó phân
     tích các sự kiện đã được tổng hỢp.


          Giám sát tính toàn vẹn
          Một  công  cụ  giám  sát  tính  toàn  vẹn  sẽ  nhìn  vào  các
     cấu  trúc  chủ  yếu  của  hệ  thống  để  tìm  sự  thay  đổi.  Ví  dụ
     như,  một  giám  sát  toàn  vẹn  đó  sẽ  sử  dụng  một  file  hệ
     thống hoặc một khóa registry như "bait" để ghi lại các thay
      đổi bởi một kẻ xâm nhập. Mặc dù chúng có giới hạn,  giám
     sát  toàn  vẹn  có  thể  thêm  vào  các  lớp  bảo  vệ  cho  một  hệ
     thống phát hiện xâm nhập.
          Giám  sát  toàn  vẹn  phổ  biến  nhất  đó  là  Tripwừe
      (http://www.tripwire.com).  Tripwữe  có  sẵn  cho  Windows  và
     Unix, và nó chỉ có thể giám sát một sô" các thuộc tính như:
           •  Việc thêm, xóa, sửa đổi File.
          •  Cò File (i.e., hidden, read-only, archive, etc.).
          •  Thòi gian truy cập cuốỉ cùng.
           •  Thời gian ghi cuối cùng.
           •  Thời gian thay đổi.

           •  Kích thước File.


                                                                     11