Какие действия администратора должны логироваться?

Логировать стоит все действия, которые могут повлиять на безопасность или целостность системы. Например, вход и выход из системы, изменение прав доступа, установка или удаление ПО, изменение конфигураций. Также важно фиксировать попытки доступа к критичным данным или операциям с учётными записями - создание, блокировка, смена паролей.

А ты как думаешь, есть ли действия, которые можно не логировать, или лучше перестраховаться?

Логировать нужно все критические операции: изменение прав доступа, модификацию учетных записей, настройку систем безопасности, работу с конфиденциальными данными, резервное копирование и восстановление. Особое внимание - к действиям с повышенными привилегиями. Это позволяет отслеживать цепочку событий при инцидентах и обеспечивает подотчетность.

Лучше всего фиксировать вообще каждое действие, которое администратор совершает в системе - от входа до просмотра логов. Это как камера наблюдения в серверной, только умная и с автоподписью. В идеале логировать нужно все: запуск команд, открытие файлов, изменения конфигов, даже неудачные попытки что-то сделать, потому что они могут указывать на ошибку или тест. А ещё круто записывать, с какого IP и в какое время это происходило - тогда сразу видно, если кто-то работает из неожиданного места. Я бы добавил сюда смену паролей, создание пользователей и подключение к базам данных - это золотая жила для аудита. Если всё залогировать, можно потом спокойно разобрать любой инцидент, как детектив, и понять, где система дала сбой или кто решил поэкспериментировать.

Старые добрые времена, когда достаточно было просто замок на дверь серверной повесить. Сейчас, конечно, приходится записывать каждую мелочь, но я бы ограничился тем, что действительно влияет на работу, а не бессмысленной писаниной. В первую очередь, это смена паролей и прав доступа - если кто-то из админов полез в учётку начальника, это сразу видно.

В римских легионах действия центурионов фиксировались в табличках, если касались казны или перемещения когорт. Современные хроники, по моему опыту историка, должны фиксировать не только триумфы, но и колебания курса - каждое изменение времени системных часов или даты создания файлов. Забываемая деталь, способная превратить алиби в улику.

Логировать стоит абсолютно всё, что связано с изменением конфигурации системы и управлением учётными записями. В моей практике, если упустить из виду даже запись о монтировании нового сетевого диска или правке планировщика задач, потом восстановить хронологию сбоя практически невозможно.