Als "Forensik" wird allgemein die Gerichtsmedizin bezeichnet.
Als "forensische Analyse" wird die LAN-Analyse zum Zwecke der nachträglichen Beweis-Sicherung bzw. Beweis-Erbringung bezeichnet.
Um unanfechtbare, zweifelsfreie Beweise liefern zu können, muss bereits die Aufzeichnung der LAN-Daten dem Erfordernis genügen, verlustfrei, vollständig und unterbrechungsfrei zu sein.
Dies kann bis einschließlich Gigabit-Ethernet inzwischen mit frei verfügbaren Mitteln geschehen. so z.B. Wireshark mit dem Aufsatz TraceCommander/MintMagic.
Ein Problem ist die Auswertung der aufgezeichneten Datenströme.
In Echtzeit können nur Hochleistungs-Analyzer mit Spezial-Hardware diese Erfordernisse erfüllen; Software-Analyzer ohne spezielle Hardware sind hier schnell überfordert.
Für Nahzeit-Analyse können auch preiswerte Software-Lösungen verwendet werden, etwa TraceCommander mit dem Online-Analyse-Modul MintMagic. Bei kleineren bis mittleren Datenraten etwa auf WAN-Links ist die Software hinreichend schnell, um zeitnah (aber nicht in Echtzeit) Live-Ergebnisse zu liefern, einschließlich Alarm-Meldungen, Logs etc.
