効率的な監査

次の方法により、組織のセキュリティー目標を達成する一方で、監査効率を高めることができます。

• 一回にある一定の割合のユーザーのみをランダムに監査します。

• 監査ファイルのディスク容量要件を削減するために、監査ファイルを結合、縮小、および圧縮します。ファイルを保管する手順、リムーバブルメディアにファイルを転送する手順、およびファイルをオフラインで格納する手順を決定します。

• 監査データの異常な動作をリアルタイムで監視します。すでに持っている管理および分析ツールを拡張すると、syslog ファイル内の監査レコードを処理できます。

  また、特定の動作に対して監査トレールを監視する手順を設定します。異常なイベントが検出された場合に、それに応じて特定のユーザーまたは特定のシステムの監査レベルを自動的に上げるようなスクリプトを作成します。

  たとえば、次のようにスクリプトを作成します。

  1. すべての監査ファイルサーバー上における監査ファイルの作成を監視します。

  2. tail コマンドを使用して、監査ファイルを処理します。

     tail -0f コマンドから praudit コマンドに出力をパイプすることにより、レコードが生成されたときに監査レコードのストリームを生成できます。詳細は、tail(1) のマニュアルページを参照してください。

  3. このストリームを分析して異常なメッセージの種類やほかの兆候を調べ、または監査担当者に分析を配信します。

     また、このスクリプトを使用して、自動応答を発生させることもできます。

  4. 監査ディレクトリを常時監視して、新しい not_terminated 監査ファイルが発生していないかを調べます。

  5. 監査ファイルに書き込めなくなったときに、未処理の tail プロセスを終了します。