存储数据的必要性

　　根据数据的重要性以及在服务被拒绝实例中使数据在本地的需要，数据可以保存在资源本地，直到它被需要或在每个事件后被转存为止。必须认真考虑生成记录日志的设备和真正的日志存储设备(文件服务器、磁带或光驱、打印机等)间路径的安全程度。如果该路径受到危害，就无法记录日志或日志被欺骗，甚至两者同时发生。

　　理想情况下，日志存储设备可以通过单独一根简单的、点对点的电缆直接连接到生成日志的设备。但通常情况下不切实际，因为数据路径一般都经过几个网络和路由器。即使日志可能会被阻塞，但通过加密校验和(很可能不必对记录加密，因为它们不应包含敏感信息)可以防止欺骗。

　　存储设备也需要认真选择。考虑用WORM(Write-Once-Read-Many，可一次可读多次)光驱来存储审核数据。利用这类设备，即使攻击者能获得数据(除物理介质之外)，他们也不能将其修改或损毁。

　　由于搜集审计数据会使数据量迅速增加，因此必须提前考虑对这些信息进行存储的可行性。通过压缩数据或只保存短期之类的数据可减少所需的存储空间。选择一个能使每个人都适用，并且能够为了时间响应目的而保存详细审计记录的时间范围是很有用的。审计数据可以是站点上和备份文件中一些最需要认证保护的数据。倘若入侵者能够访问到审计记录，那么系统本身而不仅仅是数据——都会有危险。

　　审计数据也可以成为调查、逮捕和起诉肇事者的关键。为此，在决策如何对待审计数据时应该向法律顾问咨询，其实在事故发生前就该向法律顾问进行咨询。如果在事故发生前没有制定适当的数据处理计划，就有可能意味着对事故造成的后果没有追索权，因此可能由于没有适当处理数据而造成责任后果。