Quels évènements journaliser ?

Tous ! Même si les journaux ne sont pas lus !!!

Journaliser tous les évènements
/etc/syslog.conf

Les mettre dans un fichier unique
*.*             /var/log/full.log
kill -HUP `cat /var/run/syslog.pid`

Exporter les journaux vers un serveur de journalisation
*.*            @IP du serveur de journalisation

Faire tourner les journaux
2 Go de journaux dans un fichier sont difficilement exploitables

Archiver les journaux (CD-ROM, DVD-ROM) 
Pouvoir les exploiter rapidemment