控制审计成本

由于审计会消耗系统资源，因此必须控制记录的详细程度。决定要审计的内容时，请考虑以下审计成本：

• 延长处理时间产生的成本

• 分析审计数据产生的成本

如果使用缺省插件 audit_binfile，您还必须考虑审计数据的存储成本。

延长审计数据处理时间产生的成本

延长处理时间产生的成本是审计成本中最不重要的部分。第一个原因是，在执行计算密集型任务（如图像处理、复杂计算等）时一般不会进行审计。如果使用 audit_binfile 插件，另一个原因是，审计管理员可以将后选任务从受审计系统移动到专用于分析审计数据的系统。最后，如果不预选内核事件，那么除了审计服务影响之外，内核对系统性能没有明显的影响。

分析审计数据产生的成本

分析成本大致上与收集的审计数据量成正比。分析成本包括合并与查看审计记录所需的时间，

对于 audit_binfile 插件所收集的记录，成本还包括归档记录及其支持名称服务数据库以及妥善保存记录所需的时间。支持数据库包括 groups、hosts 和 passwd。

生成的记录越少，分析审计迹所需的时间就越少。存储审计数据产生的成本和有效审计部分介绍了如何高效地执行审计。有效的审计可以减少审计数据量，同时提供足够的覆盖范围以实现站点的安全目标。

存储审计数据产生的成本

如果使用 audit_binfile 插件，存储成本是最主要的审计成本。审计数据量取决于以下各项：

• 用户数

• 系统数

• 使用量

• 所需的可追溯与可定责程度

由于上述因素随站点不同而不同，因此没有公式可以预先确定为审计数据存储预留的磁盘空间量。可以使用下列信息作为参考：

• 了解审计类

  配置审计之前，应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。

• 精心预选审计类，以减少生成的记录量。

  完全审计（即，使用 all 类）会很快填满磁盘空间。即使是简单的任务（例如编译某个程序）也可能会生成很大的审计文件。一个大小中等的程序在一分钟之内就可能生成数以千计的审计记录。

  例如，省略 file_read 审计类 fr 可以显著减少审计量。通过选择仅针对失败操作进行审计，有时也可以减少审计量。例如，与针对所有 file_read 事件进行审计相比，针对失败的 file_read 操作进行审计（即，使用 -fr）而生成的记录会少很多。

• 如果使用 audit_binfile 插件，有效的审计文件管理也很重要。例如，您可以压缩一个专用于审计文件的 ZFS 文件系统。

• 确立站点审计的思路。

  将您的思路建立在合理的度量之上。这些度量包括站点所需的可追溯程度，以及管理的用户类型。