Sottolineo che solo perché non hanno molta registrazione non significa che non ne abbiano. Supponendo che tu abbia riconosciuto l'intrusione prima che il registro si arresti, credo che ne vedresti le prove sulla maggior parte dei router SOHO di fascia consumer che ho usato se la registrazione era abilitata. Sono stato in grado di rilevare tentativi di intrusione (e DoS) sui router da DLink, Linksys e Netgear analizzando i loro registri relativamente vicino all'evento.
Inoltre, se si desidera proteggere una distribuzione, l'esecuzione di dd-wrt offre un meccanismo di registrazione significativamente più robusto tramite syslogd che supporta i registri che vengono offload per fornire un record permanente ed evitare il problema di rollover.
Tuttavia, come ritengo sia stato sottolineato sopra, il logging è spesso disattivato per impostazione predefinita su questi dispositivi e, di conseguenza, non riesco a vedere di poterne ricavare molto in quel caso.