Кроме того, нас обычно не устраивает, как логи хранятся. Сисадмину требуется, чтобы логи было удобно посмотреть, факторизовать, сравнить, агрегировать, посчитать статистику. А ещё – чтобы в случае падения программы она успела бы сказать что-нибудь на прощание, и эта запись не потерялась бы. У нас задачи перпендикулярные. Нам нужно по возможности изолировать логи от злоумышленника, затруднить их уничтожение и фальсификацию. А ещё – чтобы наши логи имели юридическую значимость, то есть оптимизировать их сбор и хранение под существующее процессуальное право.
Соответственно этому, по своей направленности логи должны поделиться на отладочные (традиционные) и криминалистические.
Примерно так, как уже поделились бэкапы. Обычное резервное копирование направлено на восстановление системы после сбоев. А криминалистическая копия диска делается для поиска следов при расследовании инцидента. Эти цели настолько различны, что обычный и криминалистический бэкапы даже не пересекаются – они делаются на разных устройствах, разными людьми, по разному расписанию.
Криминалистические логи пока не отпочковались от обычных. Нам приходится вести расследование, пользуясь чужим, не приспособленным для нас инструментом.