У любого долговременного хранения логов есть цель, в случае же обсуждаемой (хранение логов, относящихся к инциденту ИБ) вопрос целостности прямо таки на первое место вылезает. У меня вот есть случай, что нужны логи по инциденту примерно 3-летней давности. Чтобы либо приобщить кейс к уже имеющимся, либо отбросить

LTO Consortium у вас хипсторы? Таки вы крут, батенька!

GIF-ка из Вашингтона )

Если, к примеру, эксперт напишет в своем заключении, что "логи не смогли восстановить полностью", то сразу возникнут дополнительные вопросы. Все от цели зависит

За RAID5 убивать лицом об стену, публично.

Более того, один из краеугольных камней ИБ в любой большой системе - наличие собственных (GPS/GLONASS) или лучше атомных серверов времени.

Религиозная тема

Но да, 5-ка не очень )

Согласен. Вопрос, как это все будет организовано. Если они будут складываться какими-то кусками (допустим за сутки) то, вполне вероятно, что поднимут только за интересующие сутки. И то, что какие-то другие повреждены, никто и не узнает даже. Если же запись идет непрерывно, по нарастающей, то да, будут вопросы. Вообще, все субъективно. Если лента в организации есть и не загружена - почему бы и нет. Специально для этого покупать - наверное не стоит.

В каком месте религиозная? Чистая математика

Не, ну эти-то могут.

Фигня это всё без PTP/IEEE1588 на сети. NTP для очень больших распределённых сетей или для достаточно удалённых точек не очень подходит.

На каждой удалённой точке - свои атомные часы. В мегарегуляторе намедни 2 из 6 NTP серверов сделали ойойой

Я смотрю, Денис Юрьевич, вы не сторонник полумер.

достаточно Камертон-с навтыкать

Для желающих расширить кругозор, почему PTP = точность синхронизации до микросекунды без больших отрицательных дрифтов, возможных в NTP. http://digitalsubstation.com/blog/2017/08/17/sem-voprosov-o-nbsp-protokole-ptp-posle-kotoryh-v-nbsp-nyom-razberyotsya-kazhdyj/

RAID10 - дорого, RAID6 - медленно