存储审计数据的成本

存储成本是最重要的审计成本。审计数据量取决于以下各项：

• 用户数

• 系统数

• 使用量

• 所需的可跟踪与可说明的程度

由于上述因素随站点不同而不同，因此没有公式可预先确定为审计数据存储预留的磁盘空间量。请遵循以下原则：

• 审慎地预选审计类，以减少生成的记录量。

  全部审计（即使用 all 类）会使磁盘空间很快被占满。即使编译程序之类的简单任务也可能生成很大的审计文件。一般的程序在一分钟之内可能会生成数以千计的审计记录。

  例如，通过忽略 file_read 审计类 fr，可以显著减少审计量。通过选择仅针对失败操作进行审计，有时也会减少审计量。例如，与针对所有 file_read 事件进行审计相比，针对失败的 file_read 操作（即 -fr）进行审计而生成的记录会少很多。

• 有效的审计文件管理也很重要。创建审计记录后，通过文件管理可减少所需的存储量。

• 了解审计类

  配置审计之前，应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。

• 设计针对您站点的审计方案。

  以可获知的因素为基础，设计您的审计方案。此类度量包括站点所需的可跟踪量，以及管理的用户类型。