Jak nastavit logování na serveru, abych viděl bezpečnostní incidenty?
Přemýšlím o tom, jak správně nastavit logování na svém serveru, protože chci mít přehled o možných bezpečnostních incidentech. Zajímalo by mě, jaké konkrétní logy bych měl sledovat a co všechno bych měl mít zapnuté, abych nezmeškal žádnou důležitou událost. Mám Linuxový server a už jsem slyšel něco o různých nástrojích na logování jako syslog, Auditd nebo ELK stack. Ale nejsem si jistý, co je pro mě nejlepší volba. Mělo by se logovat všechno nebo jen určité typy událostí? Jaké úrovně závažnosti bych měl sledovat? A co třeba logování přístupů k firewallu nebo pokusy o přihlášení? Jak moc detailní by tyto logy měly být, aby mi pomohly při analýze incidentů? A pokud mám víc serverů, jak to všechno konsolidovat na jedno místo? Budu rád za jakékoliv tipy a rady ohledně nastavení a monitoringu logů, abych mohl lépe chránit svůj server před potenciálními hrozbami.