問題：ディジタルフォレンジックスの手順を
      収集，検査，分析，報告に分けたとき，
      そのいずれかに該当するものはどれか。

ア：サーバとネットワーク機器のログをログ管理サーバに
    集約し，リアルタイムに相関分析することによって，
    不正アクセスを検出する。

イ：ディスクを解析し，削除されたログファイルを
    復元することによって，不正アクセスの痕跡を発見する。

※ウ、エは省略します

正解：イ

■質問■
アが正解にならない理由が分からずモヤモヤしてます。
なぜ、アが不正解で、イが正解となるのでしょうか？
どなたかご教授願います。

アって、たとえばファイアウォールのドロップログ（遮断した通信が書き込まれるログ）を集めとくとかそういうのなんですけど、ディジタルフォレンジックスってなると、分析じゃなくてスナップショットみたいにその正確さが重要視される（NTPのタイムゾーン同期や時刻同期とかしとく、WORM（1回しか書けない記憶媒体）にそのログを書くとかそういうの）から、フォレンジックスとは方向性が少し違うんですよね。

この投稿は投稿者により削除されました。(2022.02.03 00:23)

アの場合って不正アクセスがされてないかを見つけるために相関分析を行って確認しようとしてるもの。(不正アクセスがあったかわからない状態)

イの場合は不正アクセスがされた後に不正アクセスの痕跡を証明するために行っているもの(不正アクセスがされたことが判明してる状態)

って意味合いじゃないですか？

デジタルフォレンジックは不正アクセスとかの
痕跡を証明するためのなんちゃらってことでイが正解何じゃないですかね。

アはだから定期的な不正アクセスがないかの検査みたいなものでデジタルフォレンジックとはニュアンスが違うんですよ。

GinSanaさん、キリマンジャロさん
ありがとうございました。

すでに解決していると思いますがすみません。
アの「リアルタイムに」というのが、事後に行う手法であるデジタルフォレンジックに対して「間違い」と言うことができると思います。

M101さん
ありがとうございます。