Какова наилучшая практика для целостности и подлинности журналов?

У нас есть сотни рабочих станций, десятки серверов, отправка журналов на syslog сервер или сервер Windows Event Collector, независимо от того, пришли они с компьютеров Linux или Windows. На этом этапе целостность и конфиденциальность журналов управляются правилами доступа и передаются на серверы журналов через https а также TCP, Аутентификация журналов отправки активов не выполняется, но инвентаризация активов проводится в строгом соответствии с тем, что мы имеем в информационной системе.

Как у нас есть PKIЯ хотел бы использовать его для защиты журналов на следующий уровень. С безопасностью во время транспортировки все в порядке, но я не чувствую себя комфортно с защитой хранилища журналов перед архивированием, так как файлы журналов растут. Это будет означать:

Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file

Я могу подписать файлы журналов при архивации, но как насчет текущих файлов журналов (приведенный выше псевдокод выглядит сложным для реализации, если какой-либо инструмент уже не покрывает его)?
Я расширяю вопрос: каковы лучшие практики для обеспечения целостности журналов и обеспечения их подлинности?