Syslog-ng esetén van egy logstore nevű file formátum (destination) ami időpecsételve tárolja a logokat.
Ezzel minden sorról lehet tudni, hogy mely időpecsétek között keletkezett, valamint az adott blokk hash értéke miatt (amire az időpecsét készül) az is bizonyítható, hogy a log tartalma nem változott. Mivel mindig benne van az előző blokk hash értéke is, ezért blockchainről beszélünk, vagyis egy múltbéli adat megváltoztatásához hamisítani kéne az összes utána következő időpecsétet.
Az időpecsétek hamisítása még akkor sem triviális, ha a rendszerben root joga van, főleg, ha az kívülről jön, egy megbízható (és a helyi admintól független) időpecsét szolgáltatótól.
https://www.syslog-ng.com/whitepaper/white-paper-the-logstore-file-form…