Представьте: понедельник, утро. Критический сервис лежит, база данных пуста, а бэкапы зашифрованы. Отчаянный бросок к консоли и попытки понять. Но в системном журнале — тишина. Или, наоборот, миллионы записей, среди которых невозможно найти следы взлома. Результат: огромный ущерб, виновные не найдены, дыра в защите остается открытой.

Плохих новостей же может быть много. Аудитор просит показать историю входов администратора за прошлый квартал… но ротация логов настроена на 30 дней — сертификат не получен, сделки сорваны, штрафы выписаны. Обиженный сотрудник перед увольнением слил ключи шифрования и почистил за собой следы. Примеры можно продолжать долго.

Там, где управление событиями настроено «для галочки», все эти сценарии повторяются из раза в раз. Что-то сломалось, а кто сломал — неизвестно. И любые права доступа превращаются в фикцию.

Привет, Хабр! Меня зовут Марк, я методолог по ИБ в Selectel. В статье рассказываю, какие события жизненно необходимо отслеживать и как требования регуляторов помогают навести порядок в хаосе системных журналов. Мы и чек‑лист подготовили.