Na co zwracać uwagę?

W doskonałym świecie warto wiedzieć o wszystkim, co przechodzi przez firewall o każdym przyjętym lub odrzuconym pakiecie i o każdym nawiązywanym połączeniu. W świecie rzeczywistym ani firewall, ani ty nie poradzilibyście sobie z takimi ilościami informacji. Aby osiągnąć rozsądny kompromis, powinieneś włączyć maksymalny poziom rejestrowania, który nie spowolni zbytnio twoich komputerów ani nie wypełni zbyt szybko dysków, a następnie streszczać zawartość plików dziennika.

Możesz rozwiązać problem braku przestrzeni dyskowej, przechowując szczegółowe zapisy poza komputerem, na wymienialnym nośniku (na przykład na taśmach albo zapisywalnych płytach CD lub DVD). Taśmy są tanie i mogą przechowywać dużo danych, ale mają też wady. Nie są zbyt szybkie nawet w najlepszych okolicznościach, a wpisy w dziennikach są zwykle za krótkie, aby osiągnąć maksymalną wydajność zapisu. Co więcej, odczyt danych z taśmy jest dość niewygodny. Jeśli chcesz korzystać z taśm, przechowuj na nich wszystkie dane, a podsumowania zapisuj na dysku. Gdybyś potrzebował dokładniejszych danych, będziesz mógł ich poszukać na taśmie. Stacja taśm prawdopodobnie jest dość szybka, aby rejestrować pakiety przepływające przez przeciętne połączenie internetowe, ale nie podoła obsłudze wewnętrznych połączeń w sieci lokalnej, a nawet połączenia Tl z Internetem działającego z wydajnością zbliżoną do maksymalnej. Nagrywarki CD i DVD są jeszcze wolniejsze, ale łatwiej odczytywać z nich dane. Jeśli masz sporo wolnej przestrzeni dyskowej, którą możesz wykorzystać jako tymczasowy magazyn danych, może to być efektywne rozwiązanie.

Bez względu na to, gdzie zapisujesz dzienniki, powinieneś je chronić. Zawarte w nich dane mogą być użyteczne dla napastnika, mogą też być poufne z innych powodów. Jeśli na przykład rejestrujesz zawartość pakietów, może zapisujesz zaszyfrowane, poufne informacje. Nawet informaqe o kierunku ruchu pakietów mogą mieć charakter prywatny: co innego zarejestrować 434 razy, że ktoś się próbował połączyć z niecenzuralną witryną WWW, a co innego podać to do publicznej wiadomości.

Niezależnie od sposobu przechowywania dzienników, rejestruj następujące przypadki: wszystkie zatrzymane lub odrzucone pakiety, odmowy połączenia i odrzucone próby przynajmniej czas, protokół i nazwę użytkownika dla każdego udanego połączenia z hostem bastionowym lub z innym komputerem za pośrednictwem hosta bastionowego