O registro de logs tem como objetivo principal a detecção de ações impróprias nos sistemas de informação. Porém, devem ser tomados cuidados para que esse monitoramento esteja de acordo com requisitos legais e preserve a salvo as informações pessoais e confidenciais.
A política de segurança da informação precisa definir o que deve ser monitorado e como. Ainda que isso varie de acordo com o perfil do negócio da organização, costumam ser bastante relevantes os registros de hora e data de login e logout de cada usuário, tentativas de acesso negadas, origem dos acessos, arquivos acessados (leitura, escrita, geração e exclusão), informações sobre processos (início, fim e recursos consumidos), alterações de privilégios, mudanças nas listas de acesso, erros de software e hardware, tráfego de rede, tempo de conexão, alertas e desativação de controles de rede, violações de políticas de acesso e alterações na configuração de sistemas. A avaliação de riscos pode facilitar na determinação de um nível de monitoramento mais adequado às reais necessidades da organização.
Ainda que muitas organizações façam o registro de logs apenas por questões relacionadas à conformidade, a análise crítica das informações obtidas, de forma regular, pode ajudar a encontrar falhas nos sistemas e falhas de segurança, permitindo que sejam aplicadas as devidas correções. Essa análise, evidentemente, deve ser realizada por alguém que possua conhecimento sobre as ameaças envolvidas. E como a quantidade de informações armazenadas nos registros de logs geralmente é muito grande, pode-se fazer o uso de ferramentas de auditoria que busquem nesses arquivos padrões considerados suspeitos, o que reduz bastante os esforços destinados ao processo de análise.
Entretanto, os arquivos de log só terão validade se forem tomados alguns cuidados com a sua segurança, pois é sabido que após a prática de delitos em um sistema, os causadores geralmente têm a preocupação de encobertar seus rastros, por meio da manipulação dos registros de logs. Sendo assim, esses registros devem ser protegidos contra alterações ilegítimas e acessos não autorizados, inclusive dos próprios administradores do sistema. A proteção também deve ser feita contra falhas no sistema que eventualmente poderiam comprometer os registros de log, como por exemplo, a falta de espaço em disco.
Um fator de extrema importância e que deve ser observado antes da geração dos registros de log, sob o risco de serem gerados registros não confiáveis, é o da sincronização dos relógios. Todos devem marcar horas no mesmo formato e estar sincronizados com um relógio principal. Não deve haver atrasos e mudanças como a do horário de verão não devem representar um problema. Para sincronização de todos os relógios com o principal, pode-se utilizar o protocolo de hora da rede.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.