この節で説明する方法により、組織のセキュリティ目標を達成する一方で、監査効率を高めることができます。
ある一定の割合のユーザーのみを任意の時間にランダムに監査する
監査ファイルのディスク容量要件を削減するために、監査ファイルを結合、縮小、および圧縮する。監査ファイルの保管、リムーバブルメディアへの転送、およびオフラインで格納する手順を開発する
監査データの異常な動作をリアルタイムで監視する。特定の動作で生成された監査トレールを監視する手順を設定する。異常なイベントが検出された場合に、それに応じて特定のユーザーまたは特定のマシンの監査レベルを自動的に上げるようなスクリプトを作成する
たとえば、(1) すべての監査ファイルサーバー上で監査ファイルの作成を監視し、(2) その監査ファイルを tail コマンド (tail(1) のマニュアルページを参照) を使用して処理するスクリプトを作成する。 tail -0f の出力を praudit コマンドにパイプし、監査レコードが生成されあとすぐに監査レコードストリームを生成する。このストリームを分析して、異常なメッセージの種類などを調べ、監査担当者に配布する。また、このスクリプトを使用して、自動応答をトリガーすることもできる。
さらに、このスクリプトには、(3) 監査ディレクトリを常時監視して、新しい not_terminated 監査ファイルが表示されていないかどうかを調べ、(4) 監査ファイルが書き込めなくなったときに、未処理の tail プロセスを終了させるコードを含める必要がある。