Jetzt liegen jede Menge Logdaten vor - was macht man nun damit ? Nun, zum einen ist ein großer Teil der Logdaten im normalen Betrieb eher weniger interessant - er wird es u.U. erst bei der Analyse eines Einbruchs, zum anderen ist es schlichtweg unmöglich die Logs zu lesen und so nach Auffälligkeiten zu suchen. Es wird eine automatische Auswertung der Logfiles gebraucht die im regulären Betrieb lediglich ein paar Statistiken liefert und auf alles hinweist was evtl. auffällig ist. Dazu gibt es jede Menge Tools - und wenn das nicht reicht schreibt selber etwas geeignetes. Die Grundidee ist eigentlich immer das man Muster spezifiziert nach denen in den Logfiles gesucht werden soll. Aus den so ausgegrabenen Daten kann man dann Reports und Statistiken bauen (lassen) die einen Überblick über den Zustand des Systems geben sollten und zugleich auf Äuffälligkeiten hinweisen müssen.