フォレンジックもいいけど、保全したデータからどう調査するんだろう。。。
ログを消されるとすると、消されても証拠が残るようにはどうすればいいんだろう。。。

ダメダメサーバーが攻撃された可能性を指摘されたとき、調査してどこまでわかるのか？
そもそもどこを調査するのか？

ぱっと思いつくもの
・イベントログ
・システム情報（msinfo32）
・IISのログ
・アカウント一覧
・レジストリ
・サービス一覧
・スタートアップ
・c:\windows(winnt)\KB*.logとWindows Update.log
・イベントログの最大値と現在のサイズ
・ウイルス対策ソフトの有無または製品名
・FWのルール
・IDSの有無
・ネットワーク構成図

これらを調べて分かるんだろうか？？？