そもそも検知ができないと、ログを解析するにもきっかけがなかったりするんですけどね。
漠然と何も無い(と思われる)ときに、取得したログからどうやって特異点を見いだすのか、そのあたりって工夫しどころっちゃしどころですよね。
ちょっと効率はよろしくないんだけど、あちきはそういうときはとにかくUNIX使ってますね。UNIXって文字処理のツール豊富なんで、簡単にスクリプトを組めばいろんなことできるし。
セミナーではそのあたりも可能な限り盛り込んじゃおうとは思って居るんですが、先週末あたりに環境がブッっ飛んだりして泣きながら準備してます(;´Д`)
