审计跟踪是系统活动的记录，这些记录足以重构、评估、审查环境和活动的次序，它是记录用户注册时间、从何处注册、要做什么的文件，这些文件也记录管理员为以后分析保存的任何其它动作。 有关入侵的事件越来越多，虽然我们有日志文件可供查看，但如何从大量的日志记录中提炼出有用信息，如何综合分析以搜寻出可疑行踪，历来是烦扰管理员的一件耗时耗力的事情。 入侵者为了更好地隐藏自己，往往在入侵后修改日志文件，类似的专用工具也越来越多，因而，如何从这些被破坏的日志文件中发现入侵者的踪迹，也是值得考虑的问题。 笔者在对系统的日志文件及一般入侵者的常规行径作了大量分析后，并编制了一个专用的分析工具。主要从几个角度入手：自动完成syslog的配置，以减轻用户的工作；按用户需求进行正常的日志分析，从大量的日志记录中找到用户需要的有用信息；搜寻入侵者留下的蛛丝马迹，分析被破坏后的日志文件找到可疑迹象，生成异常报告。