Podle me zalezi na rovine pohledu, velikosti a dulezitosti sluzby/systemu, citlivosti dat. Vpodstate by ti asi nekdo mohl udelat risk management report a myslim, ze to je legitimni otazka pro management jak se k tomu chce postavit.
Muj pohled na vec:
Audit / System logy? (ssh, firewall, pkg) - urcite co nejdyl pokud muzes, zalezi na OS, ale auditd, logstash, osquery nebo neco podobnyho ma smysl.
Service / Daemon? (apache2.log, mysql.log, samba...) - tohle beru jako default logy servisu, nikoliv treba virtualhost logy z apache. To zalezi na tobe, uprime mesic by mel stacit. Zalezi co mas ve "smlouve" se zakosem. Treba v pripade apache2, vychozi logy nejsou vzdy to co chces). Central logovaci server asi ma smysl, mozna to muzes cpat jako inkrementalni backup spolu se systemem.
Aplikace / Runtime? (apache2/custom/site1.log php/custom/site1.log ....) - tady bych sel asi cestou Sentry.io nebo Raygun nebo tak neco. Aplikacni logy vetsinou obsahujou ty citlivy udaje a je to taky vetsinou co debugujes at uz ruby/python/php/go/java .... whatever.
Jako mit central logovaci server a uchovavat na aplikacnich/db serverech logy treba jenom hodinu, ma smysl. Centralni logovani vsak zatezuje network a to ne vzdycky chces. Vetsinou to chces sifrovane, takze zatez nad CPU no a nejaka ta ramka a iops v peaku navic nepotesi.
Otazka:
Hypoteticky, kdyz budu uchovavat logy den, co na to GDPR? Co kdyz bych delal updaty treba tydne, ale proste bych si nevsiml, ze tam nekde bezi neco navic (cili splnil bych nejakej ten best effort na updaty). Kdyz nebude log, jak to kdo prokaze (resp. nebude se dat dopatrat). Co pak s tim?Je to jak s ISP/Operatorama? Uchovavat vsechno aspon 6 mesicu? A co na to firemni router/firewall?