Есть сеть с доменом, в котором требуется наладить работу по анализу данных мониторинга случаев доступа к критичным ресурсам.
Для того чтобы предотвратить несанкционированный доступ к критичным ресурсам .
(Под критичными ресурсами имеются в виду - сервер эл. почты, SQL Server, контролер домена, компьютеры пользователей)
Обычно инциденты возникают в случаях вирусных атак, но может быть и нечто другое .
Можно ли обойтись антивирусами , бесплатными и штатными средствами Windows или придется рассматривать возможность приобретения такого программного обеспечения как DeviceLock , например ?
Какое программное обеспечение нужно , чтобы обнаруживать попытки сканирования сети, взломов ....?

А как Вы считаете , имеет ли смысл создавать централизованное хранилище для всех логов со всех критичных ресурсов?
Для независимого сбора и хранения в реляционной СУБД.
За сбор информации из журналов аудита должен отвечать специальный агент- программа написанная скажем на основе .NET Framework которая выполнена в виде системной службы .
А может быть в Сети уже есть готовое бесплатное решение для реализации такой задачи, поделитесь пожалуйста Вашими соображениями ?

Anatoly PodgoretskyТакое хранилище уже есть, называется системный журнал, или журнал событий.
Да,оно одно на каждом сервере, а я спросил про целесообразность "заливать" журналы с нескольких серверов в одну базу , назовём её , например SysLog . Это может быть полезно , потому что сервер с этой базы будет никому не доступен.
Anatoly Podgoretsky Просто редко кто им пользуется. А это решается только на уровне приложений. Большинство вообще журналом не пользуется.
Что решается на уровне приложений?

СДля централизованного управления и контроля смотрите MS Forefront
http://www.microsoft.com/forefront/ru/ru/default.aspx
Спасибо , но это всё платно , а хочется дёшево и сердито !
:)