由于审计会占用系统资源,因此必须控制所记录内容的详细程度。当您决定要审计的内容时,请考虑以下审计成本:
延长处理时间带来的成本
分析审计数据的成本
存储审计数据的成本
延长处理时间带来的成本是审计成本中最不重要的部分。第一个原因是在执行需要大量运算的任务(例如映像处理、复杂计算等)时一般不会进行审计。另一个原因是单用户系统的成本通常会小到可以忽略。
分析成本大致上与收集的审计数据量成比例。分析成本包括合并与查看审计记录所需的时间,还包括将记录进行归档并保存在安全位置所需的时间。
生成的记录越少,分析审计跟踪数据所需的时间就越短。下面的存储审计数据的成本和有效审计部分介绍了高效进行审计的方法。有效的审计可减少审计数据量,同时仍保证足够的审计范围以实现站点的安全目标。
用户数
系统数
使用量
所需的可跟踪与可说明的程度
由于上述因素随站点不同而不同,因此没有公式可预先确定为审计数据存储预留的磁盘空间量。请遵循以下原则:
审慎地预选审计类,以减少生成的记录量。
全部审计(即使用 all 类)会使磁盘空间很快被占满。即使编译程序之类的简单任务也可能生成很大的审计文件。一般的程序在一分钟之内可能会生成数以千计的审计记录。
例如,通过忽略 file_read 审计类 fr,可以显著减少审计量。通过选择仅针对失败操作进行审计,有时也会减少审计量。例如,与针对所有 file_read 事件进行审计相比,针对失败的 file_read 操作(即 -fr)进行审计而生成的记录会少很多。
有效的审计文件管理也很重要。创建审计记录后,通过文件管理可减少所需的存储量。
了解审计类
配置审计之前,应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。
设计针对您站点的审计方案。
以可获知的因素为基础,设计您的审计方案。此类度量包括站点所需的可跟踪量,以及管理的用户类型。