では、H19年午後２　問１をじっくり読みこんでいきましょう。
ポイントは、一言一句すべて、納得いくまで理解することです。

◆フォレンジックシステムとは何でしょうか？説明してください。
ログをとることとはどう違いますか？
◆証拠性のある形で保存するとはどういうこと？普通の保存との違いは？それを実現する具体的な技術は？
◆ネットワーク上のパケットを採取する方式を具体的に？

ここで、この件に関していくつかコメントします。

通常、ネットワーク上のパケットを取得するにはどうするかというと、PCにWireshark（旧イーサリアル）などのキャプチャソフトを入れてパケットを取得します。
しかし、これだけでは不十分です。なぜか。

それは私でもわかります。
ネットワーク上のパケットではなくホストのパケット取得になるからな。L3SwithやL2SwithcにWiresharkなどのキャプチャソフトの入ったPCをつなげばいいですね。
それだけでは駄目ですよね。
その点も理解して言われてますか？
 スイッチングHUBの仕組みにより、宛先MACアドレスをみて、該当ポートにのみ送信するからです。
つまり、キャプチャ用のPCをつないでも、ブロードキャストパケットなどしか受信できません。
じゃあどうします？

対処策１
　バカHUBを入れる。なぜこれで取得できるかをイメージしてください。イーサネットの仕組みは、同一セグメントにパケットがながれ、宛先が自分でない場合に破棄するという仕組みをとっているから。キャプチャソフトでは、宛先が自分以外のパケットも取得するようになっている。

対処策２
ミラーポートの設定。上位のスイッチ（L2、L3を問わず）では、ミラーポートの設定というのが行える。
Catalystの例
IF0/1で、IF0/2のポートをキャプチャする場合。
interface fastethernet 0/1
　port monitor Fastethernet 0/2