问日志完整性和真实性的最佳实践是什么？

EN

我们有数百个工作站，几十个服务器，将日志发送到syslog服务器或服务器，无论它们来自Linux还是Windows机器。此时，日志完整性和机密性由访问规则管理，并通过https和TCP推送到日志服务器。不执行资产发送日志的身份验证，但资产库存具有严格的信息系统内部策略。

由于我们有一个PKI，我想使用它来保护日志到下一个级别。在传输过程中确保安全性是可以的，但是我不习惯在归档之前保护日志存储，因为日志文件正在增长。这将意味着：

Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file

我可以在归档时对日志文件进行签名，但是当前的日志文件(上面的伪代码看起来很复杂，除非某个工具已经覆盖了它)呢？

我将问题扩大到:保护日志完整性和确保其真实性的最佳实践是什么？