Przykładowy plik syslog (dodano numery wierszy)

Takie komunikaty powinny zostać wysłane do kogoś, kto je bliżej zbada. Przykładem może być komunikat 1 w przykładzie 26.1 czemu ktoś wysyła pakiety UDP z portu 2 do portu powyżej 124? Nie pasuje to do żadnego popularnego protokołu.

Określanie kryteriów to proces interaktywny kiedy tajemniczy komunikat zostanie zbadany przez człowieka, jego przyszłe wystąpienia będzie można klasyfikować jako groźne lub niegroźne, bez ponownych analiz. Z upływem czasu reguły będą się zmieniać.

Wpisy w dzienniku muszą być często oceniane w ogólniejszym kontekście. Komunikat, który jest nieco tajemniczy, gdy wystąpi raz, jest powodem do poważnego zmartwienia, gdy pojawia się co minutę. Na przykład wpis „login succeeded for user smith” jest w porządku, chyba że poprzedzają go trzy wpisy „login failed” dla każdego użytkownika znajdującego się powyżej konta „smith” w pliku haseł w takim przypadku sprawy nie wyglądają dobrze. W przykładzie 26.1 komunikat 9 przedstawia niezwykłe wychodzące połączenie TCP, zarejestrowane według ogólnych zasad. Nie byłoby żadnego powodu do zmartwienia, gdyby nie to, że poprzedzają go komunikaty od 6 do . W tym kontekście łatwo stwierdzić, że ktoś poczynił trzy nieudane próby zalogowania się jako „admin”, wreszcie odniósł sukces, po czym natychmiast otworzył połączenie wychodzące. Wygląda to bardzo podejrzanie. Bez tego kontekstu komunikat 7 nie miałby żadnego znaczenia.

W dużym systemie uzyskanie odpowiedniego kontekstu może wymagać powiązania ze sobą plików dziennika z wielu hostów. Jest to jedna z przyczyn, żeby utrzymywać spójny czas we wszystkich komputerach jest to również powód do zastosowania systemu wykrywania intruzów. Jeśli w twojej sieci jest duży ruch, masz skomplikowany firewall albo musisz zapewnić ścisłe bezpieczeństwo, prawdopodobnie będziesz potrzebował systemu wykrywania intruzów, który pomoże ci w analizowaniu dzienników.