すべての監査ファイルシステムがいっぱいになると、audit_warn はすべての監査ファイルシステム上で強い制限値を超えたことを示すメッセージをコンソールに送り、別名にもメールを送ります。デフォルトで、監査デーモンはループ内に残り、ある程度の領域が解放されるまで休眠して領域の有無をチェックします。監査対象の処置はすべて中断されます。
サイトのセキュリティ要件の関係で、監査トレールのオーバーフローによってシステムの動作が中断されるよりは、一部の監査データが失われる方がよいという場合があります。その場合は、自動検出機能を構築するか、ファイルを audit_warn スクリプトに移動するか、または auditconfig を設定してレコードを削除させることができます。
セキュリティ方針の関係ですべての監査データを保存する必要がある場合は、次の手順に従います。
定期的に監査ファイルを保存し、保存した監査ファイルを監査ファイルシステムから削除するようなスケジュールを設定します。
バックアップをテープに作成するか、保存ファイルシステムに移動して、監査ファイルを手作業で保存します。
監査レコードの解釈に必要な、内容に対応する情報を、監査トレールといっしょに格納します。
どんな監査ファイルを移動したかを示すレコードをオフラインで保管します。
保存したテープを適切な方法で保管します。
サマリファイルを作成して、格納する監査データのボリュームを削減します。
auditreduce のオプションを使用すると、監査トレールからサマリファイルを抽出できるため、サマリファイルには指定したタイプの監査イベントのみが入っています。たとえば、すべてのログインとログアウトの監査レコードのみが入ったサマリファイルがあります。第 3 章「監査トレールの分析」を参照してください。