탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
감사는 시스템 리소스를 소모하므로 기록되는 세부 정보의 정도를 제어해야 합니다. 감사할 대상을 결정할 때 다음 감사 비용을 고려하십시오.
처리 시간 증가 비용
감사 데이터의 분석 비용
기본 플러그인 audit_binfile을 사용하는 경우 감사 데이터의 저장소 비용도 고려해야 합니다.
처리 시간 증가 비용은 감사 비용 중 가장 적은 부분을 차지합니다. 첫번째 이유는 감사는 일반적으로 이미지 처리, 복잡한 계산 등과 같이 프로세서를 많이 사용하는 작업 중에 발생하지 않는다는 것입니다. audit_binfile 플러그인을 사용하는 경우 또 하나의 이유는 감사 관리자가 사후 선택 작업을 감사되는 시스템에서 감사 데이터 분석 전용 시스템으로 이동할 수 있다는 것입니다. 마지막으로 커널 이벤트가 사전 선택되지 않으면 감사 서비스 영향 이외에 커널은 시스템 성능에 대한 별다른 영향을 주지 않습니다.
분석 비용은 대개 수집되는 감사 데이터의 양에 비례합니다. 분석 비용에는 감사 레코드를 병합하고 검토하는 데 필요한 시간이 포함됩니다.
audit_binfile 플러그인으로 수집된 레코드의 경우, 비용에는 레코드 및 해당 지원 이름 서비스 데이터베이스를 아카이브하고 레코드를 안전한 장소에 보관하는 데 필요한 시간도 포함됩니다. 지원 데이터베이스에는 groups, hosts 및 passwd가 포함됩니다.
생성하는 레코드가 적을수록 감사 추적을 분석하는 데 필요한 시간이 줄어듭니다. 감사 데이터의 저장소 비용 및 효율적으로 감사 절에서는 효율적으로 감사하는 방법에 대해 설명합니다. 효율적인 감사는 감사 데이터의 양을 줄이면서 사이트의 보안 목표를 달성할 수 있는 충분한 정보를 제공합니다.
audit_binfile 플러그인을 사용하는 경우 저장소 비용은 감사 비용 중 가장 많은 부분을 차지합니다. 감사 데이터의 양은 다음에 따라 달라집니다.
사용자 수
시스템 수
사용량
필요한 추적 가능 및 책임 가능 정도
이러한 요소는 사이트마다 다르므로 공식으로 디스크 공간의 양을 사전에 결정하여 감사 데이터 저장소를 마련해 둘 수 없습니다. 다음 정보에 따라 작업을 수행합니다.
감사 클래스 이해
감사를 구성하기 전에 클래스에 포함된 이벤트의 유형을 이해해야 합니다. 감사 이벤트-클래스 매핑을 변경하여 감사 레코드 수집을 최적화할 수 있습니다.
감사 클래스를 현명하게 사전 선택하여 생성되는 레코드의 양을 줄입니다.
전체 감사(즉, all 클래스 사용)는 디스크 공간을 빠르게 채웁니다. 프로그램 컴파일과 같은 단순한 작업도 큰 감사 파일을 생성할 수 있습니다. 보통 크기의 프로그램이 1분 내에 수천 개의 감사 레코드를 생성할 수 있습니다.
예를 들어, file_read 감사 클래스 fr을 빼면 감사 양을 크게 줄일 수 있습니다. 실패한 작업에 대해서만 감사하도록 선택하면 종종 감사 양을 줄일 수 있습니다. 예를 들어, 실패한 file_read 작업 -fr에 대해 감사하면 모든 file_read 이벤트에 대해 감사할 때보다 훨씬 적은 수의 레코드를 생성할 수 있습니다.
audit_binfile 플러그인을 사용하는 경우 효율적인 감사 파일 관리도 중요합니다. 예를 들어, 감사 파일 전용인 ZFS 파일 시스템을 압축할 수 있습니다.
사이트에 대한 감사 철학을 개발합니다.
철학은 합리적인 측정 단위를 기준으로 합니다. 이러한 측정 단위에는 사이트에서 필요한 추적 가능 양과 관리하는 사용자의 유형이 포함됩니다.