監査担当者と監査対象の決定

1. サイトに必要な監査クラスを決定する 

監査クラスの追加やデフォルトクラスの変更は、監査サービスを開始する前に行うことを推奨する。 

監査クラスについては、監査クラスと監査フラグを参照

2. イベントからクラスへの割り当てを決定する  

多くの場合、デフォルトの割り当てをそのまま使用できる。ただし、新しいクラスを追加したり、クラス定義を変更したりした場合は、イベントを別のクラスに移動しなければならないこともある 

3. すべてのマシン上のすべてのユーザーについて、監査するクラスを決定する 

audit_control ファイルにあるシステム全体の監査フラグは、すべてのユーザーとプロセスに適用される。監査フラグは、監査クラスの監査が正常終了したとき、失敗したとき、またはその両方の場合に決定される。Solaris がインストールされたマシン上のすべての audit_control ファイルには、同じ監査フラグが設定されている必要がある

4. インストール全体の監査設定のユーザー例外を決定する 

一部のユーザーの監査をシステム全体の設定と異なる設定にするときは、各マシン上の audit_user ファイルでそのユーザーのエントリを変更する。

詳細は、ユーザーの監査特性の変更方法を参照

5. 最小空きディスク容量 (minfree) を決定する。警告が送信されるまで、監査ファイルシステムのディスク容量を使用できる

監査ファイルシステム上のディスク容量が minfree の割合を下回ると、監査デーモンは次に利用できる監査ディレクトリに切り替える。デーモンは、ソフト制限値を超えたことを示す警告を送信する。

詳細は、例 — 警告に対するソフト制限値を変更するを参照

6. サイトに必要な監査ポリシーを決定する 

ポリシー変数は動的なカーネル変数であるため、その値はシステムの終了時には保存されない。このため、適切な起動スクリプトを使用して、適切なポリシーを設定する必要がある。 

詳細は、監査ポリシーを有効または無効にする方法を参照

7. audit_warn メールの別名の管理方法を決定する

auditd デーモンは、監査ディレクトリを切り替えるたびに audit_warn スクリプトを実行する。また、ディスク容量の不足などの問題が発生した場合にも、このスクリプトを実行する。デフォルトでは、audit_warn スクリプトは、audit_warn の別名にメールを送信し、コンソールにメッセージを送信する。ほかの別名にメッセージを送信するには、別名を変更するか、スクリプトを変更する必要がある。

詳細は、audit_warn 別名の構成方法を参照

8. すべての監査ディレクトリがいっぱいになったときの動作を決定する 

監査トレールのオーバーフローが発生しても、システムを引き続き動作させるには、cnt ポリシーを有効にする。

cnt ポリシーの例については、例 — cnt ポリシーを設定するを参照

また、監査を無効にした状態で、ログインおよび作業可能なアカウントを作成することもできる。 

監査アカウントの例については、例 — 監査管理ログインを作成するを参照