どの程度のコストで、どこまでのログをとるか?

UNIXのファイルサーバを20万円程度で・・とありますので、FreeBSD や Linux などの PC-Unix に samba を導入して構築されたのかと思います。

samba で構築されているのであれば、ログレベルの設定によってある程度の情報を記録できます。
現在のサーバスペックによりますが、ログ出力でマシンパワーを要するのは、ディスクとのアクセスになります。高速に読み書きできるディスクにログ保存できるのであれば、アクセスするユーザー数が多くなければ、レスポンス低下は大きくないはずです。

なお、sambaでコントロールしていない情報が必用な場合は、ログ取得方法を変えなければなりません。

その場合、クライアントにエージェントソフトを導入する手法が最も簡単な方法と思いますが、商用ソフトが必用となるケースが大半と思いますので、コストに折り合いがつくか?が問題になるえでしょう。

ネットワークキャプチャ方式の場合、サーバへのレスポンス低下は防ぐことができます。
しかし、ポートミラーリングハブは、製品によっては、全てのパケットをミラーリングできるとは限りませんので、ステルス型のマシンをネットワークの間に挟み、キャプチャする方が確実です。
この場合、中継マシンにかかるコスト、キャプチャデータの解析ソフトのコスト等は、サーバ構築費用以上になってくるのでは?と考えます。

また、様々な詳細データを記録するのであれば、アクセスログの容量は膨大になりますから、ログ保管用のディスクも、かなり大きな物が必用となります。
ログの保管期間によっても、データの容量は大きく異なります。

以上、一般論として、推測を元にしたコメントです。
もう少し情報を頂戴できれば、より具体的なご回答ができるかと思います。


ご参考になれば幸いです。


集客につながるホームページ
ネットとセキュリティ〜ウィジット株式会社
岡本興一