La centralización y administración de archivos de logs provenientes de redes y sistemas tiene muchas ventajas. Hay buenas fuentes de documentación sobre la información que debería ser registrada en los logs, como realizarlo de una forma óptima y como puede ser utilizada posteriormente [7],[8],[9]. Sin embargo, los requerimientos para el uso de archivos de logs para propósitos técnicos, tal como la detección de intrusos, son diferentes y no siempre complementarios a los requerimientos para el uso de tales datos en una situación legal.
Un archivo de log viable como evidencia, es aquel que ha sido rastreado y protegido desde el momento que fue creado, y el cual contiene entradas o registros relacionados con un caso legal. [6]. En la mayoría de los casos, el requerimiento de uso de un determinado archivo de log en una investigación, es algún tiempo después que el archivo fue tomado y centralizado. Este documento busca realizar un recorrido a lo largo del tema de los logs como evidencia, iniciando en las definiciones de lo que se considera un log, la evidencia en si, su problemática, las características que deben poseer para poder ser considerados como tal, algunas técnicas para llevar a cabo este propósito y por ultimo se entrara a estudiar un poco en detalle algunas herramientas que ayudaran a conseguir el objetivo de lograr que los archivos de logs sean un material de evidencia en un caso legal.
