En mi entendimiento, los administradores necesitan acceder a los registros de los servidores, estaciones de trabajo, servicios y aplicaciones que administran, ya sea con fines de administración o depuración, nunca a los registros generados por auditd desde sus propias actividades. Otro administrador o el SOC pueden. Estoy considerando aquí la política corporativa y la amenaza de una cuenta de administrador robada donde quiero evitar que un atacante vea o borre sus huellas, o malevolencia por parte del administrador mismo.
¿Es correcto? Si no, ¿qué se recomienda? Para ampliar un poco más la pregunta, ¿cómo se debe administrar el acceso a los registros centralizados cuando se requiere acceso legal o forense, cuentas locales y monitoreadas?