При передаче записей от генерирующей программы к логирующей программе ошибки, приводящие к искажению информации, можно не рассматривать. Их вероятность пренебрежимо мала. Зато не мала вероятность недоставки одной или нескольких записей от генерирующей программы к логирующей. Особенно когда эта доставка происходит по протоколу syslog, который не имеет механизма подтверждения приема сообщения.
То есть на этом этапе не следует сомневаться в корректности записи о событии, но стоит предусмотреть возможность пропуска одной или нескольких записей. Особенно если при экспертном исследовании были установлены факты пропуска отдельных сообщений при тех же условиях передачи.
Также целостность лога может быть нарушена при записи в файл. При выключении компьютера методом обесточивания и некоторых других критических ситуациях может произойти сбой файловой операции, в результате чего потеряется одна или несколько последних записей лог-файла.
То есть на этом этапе не следует сомневаться в корректности записи о событии, но стоит предусмотреть возможность пропуска одной или нескольких записей. Особенно если при экспертном исследовании были установлены факты пропуска отдельных сообщений при тех же условиях передачи.
Также целостность лога может быть нарушена при записи в файл. При выключении компьютера методом обесточивания и некоторых других критических ситуациях может произойти сбой файловой операции, в результате чего потеряется одна или несколько последних записей лог-файла.
Комментариев нет:
Отправить комментарий