効率的な監査

この節で説明する方法により、組織のセキュリティ目標を達成する一方で、監査効率を高めることができます。

• 一定の割合のユーザのみを任意の時間にランダムに監査する。

• 監査データをリアルタイムで監視して異常な動作がないかどうかを調べる (特定の動作に関して生成される監査トレールを監視し、疑わしいイベントが発生した場合には特定のユーザまたはマシンの監査レベルを上げるための手順を設定します)。

• 監査ファイルを組み合わせ、縮小し、圧縮してディスクの所要量を削減し、オフラインで格納する手順を設定する。

もう 1 つの方法は、監査トレールをリアルタイムで監視することです。異常なイベントが検出された場合に、それに応じて特定のユーザまたはマシンの監査レベルを自動的に上げるようなスクリプトを作成できます。

監査トレールをリアルタイムで監視し、異常なイベントが発生していないかどうかを調べるには、すべての監査ファイルサーバ上で監査ファイルの生成を監視し、それを tail コマンド (tail(1) のマニュアルページを参照) で処理するスクリプトを作成します。tail -0f の出力をパイプにより praudit に渡すようにすると、監査レコードが生成されたときすぐにそれを表示して確認できます。この出力を分析して、異常なメッセージのタイプや他の兆候の有無を調べ、監査担当者に送付したり、自動応答の切り替えに使用できます。このスクリプトを作成して、アクティブな新しい not_terminated 監査ファイルがないかどうか、また、ファイルが書き込まれなくなったとき (つまり、新しいファイルに切り替えられたとき) に tail プロセスが終了しているかどうかを、監査ディレクトリ内で絶えず調べるようにする必要があります。

audit ファイルを組み合わせて縮小する方法

-O オプションを指定して auditreduce を使用すると、複数の監査ファイルを組み合わせて 1 つにまとめ、指定した出力ファイルに保存できます。

auditreduce を使用すると、組み合わせと削除を自動的に実行できますが (auditreduce(1M) のマニュアルページの -C、-D オプションを参照)、通常はファイルを手作業で (find を使用して) 選択し、指定したファイルセットを auditreduce を使用して組み合わせる方が簡単です。この方法で auditreduce を使用すると、入力ファイル内のすべてのレコードがマージされて、1 つの出力ファイルにまとめられます。その後に、入力ファイルを削除し、auditreduce で検索できるように、出力ファイルをディレクトリ /etc/security/audit/server-name/files に保存する必要があります。

# auditreduce -O combined-filename

また、auditreduce プログラムでは、入力ファイルを組み合わせるときに不要なレコードを除去して、出力ファイル内のレコード数を削減できます。完全な監査トレールを検索する必要がある場合にはバックアップテープから回復できることを前提にして、ログインとログアウトイベントを除いた、数カ月のすべてのレコードを auditreduce を使用して削除するようなこともあります。

# auditreduce -O daily.summary -b 19930513 -c lo; compress *daily.summary
# mv *daily.summary /etc/security/summary.dir