Преимущества использования журнала событий в системах защиты информации:

• Мониторинг состояния системы. 2 По журналам можно отслеживать сложные взаимодействия внутри системы, например, определять, как и куда распространяется вирус. 2
• Анализ и расследование инцидентов. 24 Например, по журналам можно найти информацию о том, предшествовал ли чему-то инцидент с прекращением работы сервера. 2
• Выполнение требований регулирующих органов. 4 Журналы регистрации событий безопасности могут быть использованы для снабжения системы обнаружения атак данными. 4

Недостатки использования журнала событий в системах защиты информации:

• Объёмные журналы. 1 В случае включения всех рекомендованных политик аудита ИБ журналы событий становятся достаточно объёмными, поэтому поиск по их содержимому может быть медленным. 1
• Необходимость защиты журналов. 2 При малейшем сомнении в целостности и подлинности записей журнала такому же сомнению подвергается вся получаемая из него информация. 2
• Ограниченная информация о контексте событий. 3 Например, система SIEM предлагает ограниченную информацию о контексте событий, поэтому может быть трудно отличить совершенно безвредное поведение от кражи конфиденциальных данных. 3