תיעודאם כבר, דרך UNIX לרשום כל מיני פעילויות לכל מיני קבצים מאשרת ש"זה עושה משהו". כמובן, קבצי יומן צריכים להיבדק באופן קבוע, ידני או אוטומטי. חומות אש ואמצעי בקרת גישה אחרים נוטים ליצור כמויות עצומות של קובצי יומן, כך שהחוכמה היא לנסות ולרשום רק פעילויות חריגות.
10.5.5. זיהוי חדירה
מערכות זיהוי חדירה נועדו לתפוס את מה שעלול היה לעבור את חומת האש. הם יכולים להיות מתוכננים כדי לתפוס ניסיון פריצה פעיל בתהליך, או כדי לזהות פריצה מוצלחת לאחר מעשה. במקרה האחרון, מאוחר מדי למנוע כל נזק, אבל לפחות יש לנו מודעות מוקדמת לבעיה. ישנם שני סוגים בסיסיים של IDS: אלה המגנים על רשתות, ואלה המגינים על מארחים בודדים.
עבור IDS מבוסס מארח, זה נעשה עם כלי עזר המנטרים את מערכת הקבצים לשינויים. קבצי מערכת שהשתנו בצורה כלשהי, אך לא אמורים להשתנות, הם הודעה מתה על כך שמשהו לא בסדר. כל מי שנכנס ומקבל גישת שורש, כנראה יבצע שינויים במערכת איפשהו. זה בדרך כלל הדבר הראשון שנעשה, או כדי שיוכל לחזור פנימה דרך דלת אחורית, או כדי לפתוח במתקפה נגד מישהו אחר, ובמקרה זה, הוא צריך לשנות או להוסיף קבצים למערכת. מערכות מסוימות מגיעות עם חוט טריפ מערכת ניטור, אשר מתועדת באתר Tripwire Open Source Project.