以下技术可帮助您在更有效地进行审计的同时实现组织的安全目标。
任何时刻均只对特定百分比的用户同时进行随机审计。
实时监视审计数据有无异常行为。您可以扩展已经开发的管理和分析工具,以便处理 syslog 文件中的审计记录。
您还可以设置监视某些活动的审计跟踪的过程。可以编写这样一个脚本,在它检测到异常事件时,以触发自动增加对特定用户或特定系统的审计作为响应。
监视所有审计文件服务器上审计文件的创建。
使用 tail 命令处理审计文件。
通过对 tail -0f 命令输出内容实施 praudit 命令管道操作,可以在生成记录时产生审计记录流。有关更多信息,请参见 tail(1) 手册页。
分析此流以查看是否存在异常消息类型或其他指示符,并将分析结果提供给审计者。
或者,可以使用脚本来触发自动响应。
经常监视审计目录,以查看是否有新的 not_terminated 审计文件出现。
如果仍在运行的 tail 进程不再向其文件中写入信息,请终止这些进程。