使用する監査ポリシーの決定
監査ポリシーは、特定の構成を有効または無効にした監査オプションを参照します。プログラムレベルで auditon システムコールを行なって、現在の監査ポリシーを調査したり、有効または無効にしたりすることができます。また、auditconfig コマンドを実行して同じタスクを行うこともできます。
デフォルトでは、すべての監査ポリシーは無効になっています。監査ポリシーを使用するときは、それらを有効にする必要があります。
監査ポリシーがデフォルトで無効になっているのは、記憶領域要件とシステム処理要求を最小限に抑えるためです。監査ポリシーは、動的に有効または無効にすることができます。次の表を参照して、1 つまたは複数の監査ポリシーを有効にしたときに発生する追加のオーバーヘッドを考慮しながら、サイトの要件を決定してください。
|
ポリシー名 |
説明 |
ポリシーを変更する理由 |
|---|---|---|
|
無効にすると、実行済みプログラムスクリプトの環境変数が exec 監査レコードから除外される 有効にすると、実行済みプログラムスクリプトの環境変数が exec 監査レコードに追加される。監査レコードには、より詳細な情報が記録される |
無効にすると、収集される情報が大幅に少なくなる このオプションは、少数のユーザーを監査しているとき、または exec プログラムで使用している環境変数に問題があるときに、有効にする |
|
|
無効にすると、実行済みプログラムスクリプトの引数が exec 監査レコードから除外される 有効にすると、実行済みプログラムスクリプトの引数が exec 監査レコードに追加される。監査レコードには、より詳細な情報が記録される |
無効にすると、収集される情報が大幅に少なくなる このオプションは、少数のユーザーを監査しているとき、または exec プログラムが正常に動作しないことがはっきりしているときに、有効にする |
|
|
無効にすると、ディスク容量の不足が原因で監査レコードを監査トレールに追加できない場合、ユーザーまたはアプリケーションがブロックされる 有効にすると、監査レコードが生成されないまま、イベントを完了できる。監査レコードは生成されないが、カウントは行われる |
セキュリティを最優先する場合は、無効にする セキュリティよりシステムの可用性が重要な場合は、有効にする |
|
|
無効にすると、グループの一覧が監査レコードに追加されない |
サイトのセキュリティが重要な場合、通常は無効にする どのグループが監査可能なイベントを生成しているかを監査する必要があるときは、有効にする |
|
|
無効にすると、1 つのシステムコールで使用されたパスが、あっても 1 つだけ監査レコードに記録される 有効にすると、監査イベントで使用されたすべてのパスが、すべての監査レコードに記録される |
無効にすると、監査レコードにパスが、あっても 1 つだけ記録される 有効にすると、1 つのシステムコールで使用された各ファイル名またはパスが、監査レコードに path トークンとして記録される |
|
|
無効にすると、監査レコードに順序番号が追加されない |
監査が問題なく動作しているときは、無効にしてもかまわない 監査ファイルが正しく書き込まれているかどうかを確認するときは、有効にする。ファイルが壊れた場合 (監査レコードがすべて書き込まれなかった場合など) は、順序番号が順不同であったり、一部の番号が抜けていたりすると、不正なレコードをより速く検出できる可能性がある |
|
|
無効にすると、trailer トークンが監査レコードに追加されない |
無効にすると、作成される監査レコードが小さくなる 有効にすると、各監査レコードの最後に trailer トークンが常に付加される。trailer トークンは、多くの場合、デバッグ時に順序トークンとともに使用される。ファイルが破壊した場合 (監査レコードがすべて書き込まれなかった場合など)、auditreduce コマンドによる再同期が、レコードが正常な場合より、早く終了する |
- © 2010, Oracle Corporation and/or its affiliates