La journalisation (logging) consiste à enregistrer automatiquement les événements qui se produisent sur un système : connexions, accès aux fichiers, modifications de configuration, erreurs, tentatives d'intrusion... Ces enregistrements sont appelés logs.
Les logs sont essentiels pour détecter des comportements suspects en temps réel et reconstituer le déroulement d'un incident après coup. Sans logs, il est impossible de comprendre ce qui s'est passé lors d'une cyberattaque.
Une bonne politique de journalisation définit quoi logger, combien de temps conserver les logs et qui peut y accéder.