監査トレールのオーバーフローを計画的に予防する方法

セキュリティポリシーですべての監査データを保存するよう定められている場合には、次の操作を行います。

1. 定期的に監査ファイルを保存するスケジュールを立て、全監査ファイルシステムから、保存処理の済んだ監査ファイルを削除します。

   システムの制限値に達する前に、システムからファイルが必ず削除されるようにスケジュールを組んでください。修正した audit_warn スクリプトなどのスクリプトを使って、監査ファイルを別のディスクへ自動で移して保存することができます。

2. テープにバックアップをとったり、アーカイブファイルシステムへ移動したりして、監査ファイルを手動で保存します。

3. 監査レコードの変換に必要なコンテキスト情報を監査トレールと一緒に保存します。

   ユーザーとパスワードの現行リスト、ワークステーションのディレクトリリスト、その他の揮発性の情報を保存してください。

4. どの監査ファイルをオフラインに移動したかを示すレコードを保管します。

5. 記録テープを適切に保存します。

6. サマリファイルを作成して、保存する監査データの量を減らします。

   auditreduce コマンドに各種オプションを付けると、監査トレールから、指定した特定種類の監査イベントのレコードだけを含むサマリファイルを抽出することができます。たとえば、すべてのログインとログアウトの監査レコードだけを含むサマリファイルなどがあります。第 3 章「監査トレールの管理と監査結果の分析」を参照してください。