Sau khi có được các file log từ firewall và bắt đầu phân tích, điều quan trọng là đừng lúc nào cũng quan tâm đến các sự kiện xấu. Thực tế các file log này là chìa khóa dùng để tìm ra các vấn đề liên quan đến bảo mật và là công cụ duy nhất dùng để phân tích. Đồng thời cũng có thể sử dụng các thông tin này hỗ trợ hoạt động cho firewall. Sau cùng cách thức dễ nhất tìm ra các phương thức xấu là nhận biết các phương thức tốt sau đó dùng cách loại trừ. Có mười sự kiện cơ bản:
+ Authenfication Allowed: Nghe có vẻ vô ích, nhưng thật sự vô cùng quan trọng trong việc xác định sự kiện về xác thực được cho phép bởi nó có thể xác nhận firewall đã cho phép các truy cập ở đâu trong khi nó có thể bị từ chối. Lý do là trong khi những admin hợp lệ đăng nhập thì không cho phép người dùng bất hợp pháp sử dụng account và password mà admin đang dùng. Hơn nữa nếu firewall được cấu hình để xác thực người dùng truy xuất thì các thông tin này có thể được dùng để xác thực các user đã được xác thực và các ứng dụng mà họ đã dùng.
+ Traffic Dropped (không nằm tại firewall): Hầu hết firewall bảo vệ một số tài nguyên nhất định. Các luồng địa chỉ tới các server này đều được firewall theo dõi và lọc kỹ. Dù vậy gói tin traffic dropped ghi nhận những ai truy xuất vào hệ thống tài nguyên có thể không giống những gì mà người quản trị đã cài đặt, đây chỉ là một lỗi cấu hình thông thường. Do đó, nếu user không thể truy cập vào tài nguyên thì cần xem lại các file log để biết được firewall đã đánh rớt luồng dữ liệu nào, dựa vào đó khai báo lại đường đi sẽ giải quyết được vấn đề này.
+ Firewall Stop/Start/Restart: Mặc định firewall không bao giờ dừng hay khởi
động lại mà không thông qua admin. Tuy nhiên một số trường hợp cũng có thể xảy ra như mất điện hay hệ thống bị treo hay do bị tấn công. Do đó cần ghi nhận logging để biết rõ nguồn gốc vấn đề.
+ Firewall Configuration Changed: Cấu hình của firewall khi ðýợc thay ðổi cần phải tùy chỉnh các tài liệu ðiều khiển cho phù hợp. Nhằm ðảm bảo các thay ðồi là hợp lệ và hỗ trợ cho vấn ðề xảy ra về sau.
+ Interface Up/Down Status Changed: Các cổng giao tiếp của firewall thay đổi trạng thái từ up sang down hay ngược lại đều có thể dẫn đến vấn đề cấu hình của hệ thống mạng. Thông tin này sẽ hữu ích đối với hệ thống mạng có nhiều firewall bởi các cổng giao tiếp mạng thay đổi trạng thái có thể dẫn đến tình trạng firewall xảy ra lỗi.
+ Adminstrator Access Granted: Bất cứ khi nào người quản trị kết nối thành
công vào hệ thống thì thông tin này sẽ được ghi nhận. Mặc dù tương tự như theo dõi việc xác thực tuy nhiên vấn đề ở đây là người quản trị được quyền truy xuất. Hầu hết thì các truy xuất đều hợp lệ tuy nhiên nếu có trưởng hợp không hợp lệ xảy ra rủi ro thì cần phải kiểm tra log xem liệu việc tài khoản quản trị đó đã bị đánh cắp hay không.
+ Authentication Failed: Diễn ra có thể là một user nào đó cố gắng nhập một password nào đó bằng phương thức brute-force nhằm tìm ra password thật sự. Sự kiện xác nhận thất bại có thể do đăng nhập vào tài khoản riêng tư hay là các admin account
+ Traffic Dropped (Tại firewall): Tương tự như việc đánh rớt gói tại một server nào đó, nhưng trường hợp này là ngay tại firewall. Thông thường, firewall sẽ không có bất kỳ một luồng dữ liệu nào trực tiếp tới nó qua các cổng giao tiếp bên ngoài thay
vào đó là tất cả các luồng sẽ được dẫn tới các hệ thống tài nguyên bên trong. Sự kiện này có thể là chỉ một user nào đó muốn đoạt quyền điều khiển firewall hoặc do lỗi cấu hình như ICMP hay IPSEC, do quản lý hay do các giao thức định tuyến.
+ Administrator Session Ended: Tương tự như khi quyền đăng nhập admin được cho phép, khi phiên làm việc của người quản trị kết thúc cũng cần theo dõi xem người quản trị nào đã được phép đăng nhập. Sự kiện này theo dõi thời gian cụ thể bởi chỉ người quản trị mới có thể thay đổi firewall và do đó các file log sẽ được phân tích kĩ về thời gian sau khi phiên làm việc kết thúc nhằm xác định rõ những thay đổi đã diễn ra trong hệ thống.
+ Connection Was Torn Down: Việc ngắt kết nối sau quá trình định tuyến là bình thường. Tuy nhiên có một vài lí do ngắt kết nối là không bình thường. Ví dụ như gói tin SYN quá thời gian timeout có nghĩa là ai đó có thể đang sử dụng tấn công DOS vào hệ thống.