いわゆるハニーポットのケージとかそういうもののように、仮想的なOS環境でサーバーを動作させて、仮想的OSの「外」にある本来のOS環境でログを取得する、しかもカーネルコールとかそういうもののレベルで、というのがきっと単体では最強のログなんだろうなあ。
問題はやはりログ量と解析か。でも、これだけハードリソースが安くなってきているんだからそういう行き方もありだよね。それこそ最強のホスト型IDSってところかなあ。
にしてもどういう視点でカーネルコールのログ解析を行えば良いんだろう？今あるホスト型IDSとかは、同じようなことをやってるんだけどなあ。