L'activité de journalisation à une part importante dans la gestion de la sécurité du SI, elle ne se substitue par aux divers mécanismes de protection mais permet:
La granularité des mesures doit permettre de collecter assez d'informations sans entraver le bon fonctionnement du SI. Toute la difficulté consiste à éviter une masse trop importante de données difficilement exploitable dont la génération consommera à l’excès les ressources ou à l'inverse une politique trop ciblée ne produisant pas assez de données utiles.
Les systèmes journalisés doivent être synchrones. L'analyse de la chronologie des événements peut devenir complexe dans le cas contraire.
Les journaux doivent être enregistrés sur une partition indépendante de la partition racine du système. L'espace disque des appareils générant et stockant les logs doit être supervisé.
Exporter les logs sur un serveur externe augmente la résilience du système: en cas de compromission, il sera plus difficile d'altérer les logs.
Privilégier si possible un transfert temps réel des logs plutôt que différé. Un transfert en mode push est initié par l'appareil qui génère les logs, le mode pull est initié par le serveur de centralisation qui les récupère.
Le prétraitement des logs est déconseillé afin d'éviter une perte/altération d'information. Le serveur de centralisation reçoit et enregistre les logs bruts et les traite si nécessaire à posteriori.
Sécuriser les transferts sur les réseaux non maîtrisés: intégrité (TCP) et confidentialité (TLS).
Contrôler la bande passante utilisée par le transfert des logs. La journalisation ne doit pas empêcher le fonctionnement normal.
Rotation régulière des logs afin de garantir leur exploitabilité.
Définir correctement les droits d'accès aux logs car ils peuvent contenir des informations sensibles. La journalisation et la collecte doivent être exécutés par des comptes disposant des moindres privilèges.
Utiliser des outils dédiés à la consultation/analyse des logs pour faciliter leur exploitation.