Os registros devem ser escritos somente se contiverem dados potencialmente confidenciais. Obviamente, eles podem ser apenas de gravação para o aplicativo que produz o log e outros aplicativos em execução no servidor, e talvez até mesmo para o subsistema de registro (uma vez gravados nos arquivos de log), mas os administradores e auditores do sistema devem poder lê-los .
A coisa mais importante para um arquivo de log é integridade. Ser somente escrita não ajuda na integridade. Se puder, torne o arquivo de log somente anexado (por exemplo, chattr +a /path/to/log no Linux) - mas isso pode não ser prático, pois somente o root pode fazer isso e precisa ser feito em cada rotação de log. Melhor ainda, faça o login em um servidor separado que não faz mais nada (e, mesmo assim, ter um arquivo de log somente de anexação não legível adiciona um pouco de redundância à segurança).