監査の効率

サイトのセキュリティ目標を厳守しながら監査の効率化を図るため、何を監査するか、いつ監査するか、どこへファイルを保存するかを検討します。実際には次のような例が考えられます。

• 1 回につき一定の割合のユーザーだけを任意に抽出して監査する

• 監査データの異状をリアルタイムで監視する (特定のアクションが原因で生成されている監査トレールを監視したり、疑わしいイベントが発生した場合に特定のユーザーやワークステーションの監査レベルを上げるような手続きを設定する)。「現在の監査ファイルを読む方法」を参照してください。

• アクセスが公開されているファイルやディレクトリに公開オブジェクトフラグを設定。アクセスが公開されているファイルやディレクトリの監査はあまり意味がないので、このような設定によって、セキュリティの程度を損なうことなく監査トレールの予想サイズを減らすことができます。この場合、次の監査イベントについてそのクラスの監査が有効になっていても、監査レコードは生成されません。

  AUE_ACCESS、AUE_STAT、AUE_LSTAT、AUE_READLINK、AUE_STATFS、AUE_FSTATFS、AUE_PATHCONF、AUE_OPEN_R、AUE_FGETCMWLABEL、AUE_GETCMWFSRANGE、AUE_GETCMWLABEL、AUE_GETFILEPRIV、AUE_LGETCMWLABEL、AUE_GETMLDADORN、AUE_GETSLDNAME、AUE_OSTAT、AUE_FUSERS、AUE_STATVFS、AUE_XSTAT、AUE_LXSTAT

  具体的な手順については、「アクセスが公開されているファイルに公開オブジェクトビットを設定する方法」を参照してください。

• 監査ファイルを組み合わせたり、削減したり、圧縮したり、オフラインで保存するなどして、ファイルの保存に使用するディスクの所要量を減らす (「選択した監査ファイルを組み合わせる方法」を参照)。