Dokumentation av vad som gjorts i systemet är mycket viktig och systemdokumentationen ska uppdateras när ändringar görs.
Den manuella dokumenteringen kan underlättas genom att använda ett system, en databas, som kan ställas in för att övervaka filerna i systemet regelbundet. Om någon av dessa filer modifieras larmar databasen. Förutom systemfiler kan övervakningen gälla webbsidor eller filer som bedöms som känsliga och som ska vara statiska.
Systemet bör konfigureras så att filer skickas till den centrala loggservern. Att använda en central loggserver som tar emot loggar från maskinerna i systemet gör att eventuella inkräktare inte kan sopa igen sina spår – eftersom dessa också sparas på loggservern. Det gör arbetet att övervaka loggarna lättare eftersom detta kan ske i ett gränssnitt där det går att följa hela systemet. Frekvensen för läsning av loggar bör bestämmas utifrån organisationens behov och bör dokumenteras.
Genom att spela in den nätverkstrafik som skickas till och från Internet får företaget möjlighet att se vilka filer som ändrats eller vilken information som försvunnit. Utrustningen bör placeras mellan internetroutern och brandväggen och en vanlig pc med gratis program fyller denna funktion väl. Informationen kan användas som bevisföring mot inkräktare.