Además de lo que Polynomial ha sugerido, recomiendo prestar especial atención al intento de autenticación. es decir, registrar toda la solicitud (incluido el agente de usuario, no un identificador único sino un indicador útil) tal vez ocultando la contraseña en un formato legible por la máquina (*). Pero también si el intento fue exitoso o no.
Dado que debe cambiar el ID de sesión en un intento de autenticación, debe registrar ambos (independientemente de si es exitoso). El seguimiento del contenido relacionado con la página de autenticación (jss, css, imágenes) también es una medida útil, de hecho, incluso podría considerar la posibilidad de incluir la página con contenido no almacenable en caché. Medir el tiempo de permanencia en la página es útil para detectar algunos tipos de ataques.
Medir el tiempo para generar el html y el tiempo necesario para descargarlo en el cliente proporciona información de perfil y detección de ataques de tipo sloloris.
Para páginas que no sean la página de autenticación, vea la lista de Polinomios y (donde un ID de usuario está asociado con una sesión, luego el ID de usuario, por ejemplo, vea mod_auth_memcookie ).
(*) es decir, con campos separados y fácilmente analizables