監査トレールのオーバーフローの予防

ワークステーションの監査ファイルシステムがいっぱいになると、audit_warn スクリプトが起動して、すべての監査ファイルシステムで制限値を越えたことを伝えるメッセージがコンソールに送られ、エイリアスには電子メールが送られます。このとき、デフォルトでは、監査デーモンはループに入り、ディスク領域が解放されるまで休眠して容量の確認を行います。

サイトのセキュリティポリシーで別の解決策が定められる場合もあります。他の解決策としては、オーバーフローの予防やドロップされた監査レコードのカウントなどがあります。

セキュリティポリシーで、オーバーフローを予防して監査データを消失させないよう定められている場合には、「監査トレールのオーバーフローを計画的に予防する方法」を参照してください。

監査システムの構成によっては、カーネル監査バッファーがオーバーフローした場合に監査レコードを破棄することができます。このような構成は評価済みのシステム構成ではありません。監査バッファーがオーバーフローした場合は、システムを中断させるようにしてください。

セキュリティポリシーで、監査トレールがオーバーフローしたときに、監査データの一部を失ってもシステムの活動は停止しないよう定められていることがあります。この場合、auditconfig ポリシーの設定によってレコードをカウントしたりしなかったりできます。レコードをカウントするかどうかの設定方法については、「監査ファイルシステムのオーバーフローを処理する方法」を参照してください。

セキュリティポリシーで、ファイルシステムのオーバーフローの影響を受けるワークステーションを停止して処理することが求められている場合には、ワークステーションをシングルユーザーモードに移行させる必要があります。ただし、これは安全な方法ではありません。手順については、「監査ファイルシステムのオーバーフローを処理する方法」を参照してください。

監査トレールのオーバーフローを計画的に予防する方法

セキュリティポリシーですべての監査データを保存するよう定められている場合には、次の操作を行います。

1. 定期的に監査ファイルを保存するスケジュールを立て、全監査ファイルシステムから、保存処理の済んだ監査ファイルを削除します。

   システムの制限値に達する前に、システムからファイルが必ず削除されるようにスケジュールを組んでください。修正した audit_warn スクリプトなどのスクリプトを使って、監査ファイルを別のディスクへ自動で移して保存することができます。

2. テープにバックアップをとったり、アーカイブファイルシステムへ移動したりして、監査ファイルを手動で保存します。

3. 監査レコードの変換に必要なコンテキスト情報を監査トレールと一緒に保存します。

   ユーザーとパスワードの現行リスト、ワークステーションのディレクトリリスト、その他の揮発性の情報を保存してください。

4. どの監査ファイルをオフラインに移動したかを示すレコードを保管します。

5. 記録テープを適切に保存します。

6. サマリファイルを作成して、保存する監査データの量を減らします。

   auditreduce コマンドに各種オプションを付けると、監査トレールから、指定した特定種類の監査イベントのレコードだけを含むサマリファイルを抽出することができます。たとえば、すべてのログインとログアウトの監査レコードだけを含むサマリファイルなどがあります。第 3 章「監査トレールの管理と監査結果の分析」を参照してください。

監査ファイルシステムのオーバーフローを処理する方法

監査ファイルシステムがいっぱいになった場合に監査レコードをカウントし続けるように、ラベル admin_low でセキュリティ管理者になって、監査ポリシーを設定します。

$ auditconfig -setpolicy +cnt

評価済みの構成で監査を実行する場合、+cnt ポリシーは設定できません。

監査ファイルシステムがいっぱいになった場合にワークステーションを停止するように、監査ポリシーを設定します。

$ auditconfig -setpolicy +ahlt

上記のポリシーの 1 つを常時設定するためには、audit_startup(1M) スクリプトにコマンドを入力します。スクリプトの編集方法については、「常時監査ポリシーを設定する方法」を参照してください。

分散システムでは、すべてのワークステーションに同じ監査ポリシーを適用します。