Citação Postado originalmente por Pupa Ver Post
sarg e uma otima ferramenta para isso

guarda tudo .... ajuda bastante
o Sarg apenas gera um relatorio do log do squid.
o Squid apenas gera log dos acessos http.

agora me diga:
E se o ataque se deu por outra porta?
SSH, Telnet, HTTPS?
Voce nunca tera log dessas portas.

A melhor forma seria entregar IPs validos aos cliente e guardar apenas o log da autenticacao.
Mas, senao tiver como.. e vc tiver que entregar IP privado, entao a melhor forma é guardar o log das conexoes.
da uma olhada no seguinte topico: https://under-linux.org/f212/gerar-l...nexoes-148348/