Si vous utilisez le plug-in audit_binfile, le coût du stockage est le plus significatif de l'audit. La quantité des données d'audit dépend des facteurs suivants :
Nombre d'utilisateurs
Nombre de systèmes
Degré d'utilisation
Degré de traçabilité et de responsabilité requis
Etant donné que ces facteurs varient d'un site à l'autre, aucune formule ne permet de prédéterminer la quantité d'espace disque à réserver pour le stockage des données d'audit. Inspirez-vous des informations suivantes, données à titre d'exemple :
Assurez-vous de bien comprendre les classes d'audit.
Avant de configurer l'audit, vous devez comprendre les types d'événements contenus dans les classes. Vous pouvez modifier les mappages des événements aux classes d'audit afin d'optimiser la collecte des enregistrements d'audit.
Présélectionnez des classes d'audit judicieusement afin de réduire le volume des enregistrements générés.
L'audit complet, c'est-à-dire, avec la classe –all remplit l'espace disque rapidement. Même une tâche simple, telle que la compilation d'un programme, peut générer un fichier d'audit volumineux. Un programme de taille modeste peut générer des milliers d'enregistrements d'audit en moins d'une minute.
Par exemple, en omettant la classe d'audit –file_read, fr, vous pouvez réduire considérablement le volume d'audit. En choisissant d'auditer uniquement les opérations ayant échoué, vous pouvez parfois réduire le volume d'audit. Par exemple, en auditant les opérations file_read qui ont échoué, -fr, vous générez bien moins d'enregistrements qu'en auditant tous les événements file_read.
Si vous utilisez le plug-in audit_binfile, il est également important de gérer efficacement les fichiers d'audit. Par exemple, vous pouvez compresser un système de fichiers ZFS dédié aux fichiers d'audit.
Développez une philosophie d'audit pour votre site.
De telles mesures incluent le niveau de traçabilité requis par votre site et les types d'utilisateurs que vous administrez.