いまいち良くわからない用語、語用なんだけど、ネットワークフォレンジックスって結局、「のちのち裁判で証拠に使うために、通信の記録をとにかく可能な限りとっておく」ということなのかなあ？
ファイアウォールのログとか言っても、何もしなければ何も残らないし、何かしたところでどんな通信を行っていたのか、その内容詳細までは残さないのが普通だし、ましてサーバーのログにもそういうのは残らない。だとすると、どこかにレコーダーみたいな装置（サーバー）を置いて、通信の内容までしっかり記録しておこうぜ、ということなのかなあ？
でも世の中暗号通信ってのが普通に存在するわけだし、超お手軽にVPN張っちゃったりするわけなので、横から見ているだけでは通信の中身までは記録できないことが多くなってしまうんだよなあ。その場合はその通信のどこかに自分（装置）が割り込むとかしちゃうんでしょうかね？
ハニーネットの構成要素、例えばキーロガーとかを配備して、それこそどのような通信でもだいたい捕捉できる、というようにするほうが、なんとなくリーズナブルな気がするんだけどなあ。セキュリティコンソールとかデータベースを使えば、掘り下げたい通信まで到達することはけっこう容易だと思うし。
っていうかネットワークフォレンジックスやりたい企業は、みんなハニーネットにしちゃえばいいのでは？ってこれはもちろん「ハニーネットプロジェクト」の宣伝ですが（笑）。