用户数
系统数
使用量
所需的可跟踪与可说明的程度
由于上述因素随站点不同而不同,因此没有公式可预先确定为审计数据存储预留的磁盘空间量。请遵循以下原则:
审慎地预选审计类,以减少生成的记录量。
全部审计(即使用 all 类)会使磁盘空间很快被占满。即使编译程序之类的简单任务也可能生成很大的审计文件。一般的程序在一分钟之内可能会生成数以千计的审计记录。
例如,通过忽略 file_read 审计类 fr,可以显著减少审计量。通过选择仅针对失败操作进行审计,有时也会减少审计量。例如,与针对所有 file_read 事件进行审计相比,针对失败的 file_read 操作(即 -fr)进行审计而生成的记录会少很多。
有效的审计文件管理也很重要。创建审计记录后,通过文件管理可减少所需的存储量。
了解审计类
配置审计之前,应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。
设计针对您站点的审计方案。
以可获知的因素为基础,设计您的审计方案。此类度量包括站点所需的可跟踪量,以及管理的用户类型。