控制审计成本

由于审计会消耗系统资源，因此必须控制记录的详细程度。决定要审计的内容时，请考虑以下审计成本：

• 延长处理时间产生的成本

• 分析审计数据产生的成本

• 存储审计数据产生的成本

延长审计数据处理时间产生的成本

延长处理时间产生的成本是审计成本中最不重要的部分。第一个原因是，在执行计算密集型任务（如图像处理、复杂计算等）时一般不会进行审计。另一个原因是，单用户系统的成本通常小到可以忽略。

分析审计数据产生的成本

分析成本大致上与收集的审计数据量成正比。分析成本包括合并与查看审计记录所需的时间，还包括将记录进行归档并保存在安全位置所需的时间。

生成的记录越少，分析审计迹所需的时间就越少。下面的存储审计数据产生的成本和有效审计部分将介绍有效的审计方法。有效的审计可以减少审计数据量，同时提供足够的覆盖范围以实现站点的安全目标。

存储审计数据产生的成本

存储成本是最重要的审计成本。审计数据量取决于以下各项：

• 用户数

• 系统数

• 使用量

• 所需的可追溯与可定责程度

由于上述因素随站点不同而不同，因此没有公式可以预先确定为审计数据存储预留的磁盘空间量。可以使用下列信息作为参考：

• 精心预选审计类，以减少生成的记录量。

  完全审计（即，使用 all 类）会很快填满磁盘。即使是简单的任务（例如编译某个程序）也可能会生成很大的审计文件。一个大小中等的程序在一分钟之内就可能生成数以千计的审计记录。

  例如，省略 file_read 审计类 fr 可以显著减少审计量。通过选择仅针对失败操作进行审计，有时也可以减少审计量。例如，与针对所有 file_read 事件进行审计相比，针对失败的 file_read 操作进行审计（即，使用 -fr）而生成的记录会少很多。

• 有效的审计文件管理也很重要。创建审计记录后，通过文件管理可减少所需的存储量。

• 了解审计类

  配置审计之前，应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。

• 确立站点审计的思路。

  将您的思路建立在合理的度量之上。这些度量包括站点所需的可追溯程度，以及管理的用户类型。