Dokumentasjonen av hva som gjøres i systemet er meget viktig, og systemdokumentasjonen skal oppdateres når det gjøres endringer.
Den manuelle dokumenteringen kan unnlates ved bruk av en database, som kan stilles inn for å overvåke filene i systemet regelmessig. Om noen av disse filene modifiseres, blir de gamle filene slettet fra databasen. I tillegg til systemfiler kan overvåkingen gjelde websider eller filer som anses som sensitive og som skal være statiske.
Systemet bør konfigureres slik at filer sendes til den sentrale loggserveren. Bruk av en sentral loggserver som tar imot logger fra maskinene i systemet, gjør at eventuelle inntrengere ikke kan slette sporene sine, ettersom også disse blir lagret på loggserveren. Arbeidet med å overvåke loggene blir lettere, siden dette kan skje i et grensesnitt der det går an å følge hele systemet. Frekvensen for lesning av logger bør bestemmes etter organisasjonens behov og bør dokumenteres.
Ved å lagre nettverkstrafikk til og fra Internett kan bedriften følge med på hvilke filer som forandres og hvilken informasjon som forsvinner. Utstyr som plasseres mellom Internettruteren, brannmuren og en vanlig datamaskin fyller denne funksjonen godt. Informasjonen kan brukes som bevisføring mot inntrengere.
Senter for Informasjonssikring (SIS) har sammen med Politiets Datakrimsenter (PDS) og Nasjonal Sikkerhetsmyndighet (NSM) laget en veiledning om hva som bør logges som et minimum.
Tjenesten Nettvett leveres