Статей как таковых панацейных нет, чтобы логировать вообще все то хватит базовых siem-наборов (wazuh+shoopy) с хранением логов на удаленном хранилище. Опять же, 'события доступа' и "компрометация" - это очень размытые термины, делайте себе ТЗ чтобы было понимание что такое события доступа и компрометация и потом уж на основании этого подбирайте себе инструменты. Можно заколхозить по сислогу auth.log, а можно вкрячить туда суперсиемыне вещи с с полным аудитом всех вызовов и анализом процессов.
Спасибо за ответ)
"Событие доступа" по большей части - логин в систему или взаимодействие с ФС. "Компроментация" - повышение прав пользователя, при котором возникает возможность логи поправить.
Для сбора планирую использовать auditd с отправкой на удаленный сервер.
Проблема в предотвращении перезаписи логов на удаленном сервере, так как он также может быть скомпрометирован
