Se i log sono memorizzati su un altro computer assicurarsi che il log del packet filter non contenga registrazioni per i pacchetti di log, poichè questo creerebbe un infinito ciclo di log.
É bene loggare sia sul firewall che su un host di log centralizzato. Memorizzare localmente quanti più log possibili compatibilmente con lo spazio del disco permesso. Nel host centralizzato memorizzare solo i dati di cui c'è bisogno e che verranno usati.
Per l'host centralizzato di log usare una sottorete dedicata. Questo previene che il traffico di log si sommi a quello di rete e questa rete può essere usata per il traffico dei log del sistema di intrusion detection.
Non permettere che lo spazio sul disco disponibile per i log sia una costrizione. I dischi ormai costano poco soprattutto se paragonati alle spese per ripristinare un sistema compromesso.
