如何防止审计跟踪溢出

如果安全策略要求保存所有审计数据，则执行以下操作：

1. 设置计划以定期归档审计文件。

   通过将文件备份到脱机介质来归档审计文件。另外，还可以将这些文件移动到归档文件系统。

   如果正在使用 syslog 实用程序收集文本审计日志，请归档文本日志。有关更多信息，请参见 logadm(1M) 手册页。

2. 设置计划以从审计文件系统中删除已归档审计文件。

3. 保存和存储辅助信息。

   归档解释审计记录和审计跟踪所需的信息。

4. 保留已归档审计文件的记录。

5. 正确存储归档介质。

6. 减少通过创建摘要文件存储的审计数据量。

   可以使用 auditreduce 命令的选项从审计跟踪中提取摘要文件。摘要文件只包含指定类型的审计事件的记录。要提取摘要文件，请参见示例 29–25 和示例 29–29。