Mặt khác,  NIDS thường quét toàn mạng trên  mức  độ
    gói tin, trực tiếp từ đường truyền giốhg như những sniffer.
    Bởi vậy NIDS có thể phối hỢp với rất nhiều host có dữ liệu
    chuyển  qua.  Giốhg  như  những  gì  chúng  ta  thấy  trong
    chương  này,  mỗi  một  loại  đều  có  tác  dụng  và  thuận  tiện
   của chúng trong những trường hỢp khác nhau.
        Thiết  bị  giám  sát  logíĩle  nổi  tiếng  đó  là  swatch
    (http://www.oit.ucsb.edu/~eta/swatch/), là nói tắt của "Simple
   Watcher.". Trong khi hầu hết các phần mềm phân tích log chỉ
    quét log theo định kỳ, thì swatch quét tất cả các đầu vào log
   và tạo báo cáo cảnh báo theo thòi gian thực.  Những công cụ
   khác như logwatch (được tích hỢp cùng vói Red Hat Linux thì
   rất tốt cho các thao tác ngoài). Tuy nhiên, mặc dù swatch đi
   cùng với nhiều bước có liên quan thì nó vẫn đòi hỏi nhiều tính
   năng động và cấu hình khác với những công cụ khác.
        Sau đây chúng ta sẽ miêu tả việc cài đặt swatch.  Công
   cụ này khá là ổn định, do đó mà dường như không thay đổi
   nhiều  trong tương  lai.  Trước  khi  cài  đặt  swatch,  bạn  cần
   download và cài đặt Perl modules cần thiết cho nó.  Để cài
   đặt những module  này,  đầu tiên hãy download phiên bản
   mới nhất của swatch và chạy các bước sau:
        perl Makeflle.PL

        make
        make test
        make install
        make realclean
        swatch  sử  dụng  diễn  dịch  thông  thường  để  tìm  đến
   những dòng lệnh thích hỢp. Một khi mà nó tìm đúng phần
   cần thiết,  nó liền hành động, chẳng hạn như biểu diễn ra
   màn  hình,  email  1  cảnh báo hoặc  là  làm  theo hành  động
   đã được người sử dụng định ra từ trước.