Une fois que vous avez déterminé les événements à auditer sur votre site, utilisez les suggestions suivantes pour créer des fichiers d'audit contenant uniquement les informations dont vous avez besoin. Remarque : pour affecter des indicateurs aux utilisateurs, rôles et profils de droits, vous devez prendre le rôle root.
Evitez en particulier d'ajouter des événements et des jetons d'audit à la piste d'audit. Les stratégies suivantes augmentent la taille de la piste d'audit.
Ajoute des variables d'environnement aux événements d'audit execv. Même si l'audit des événements execv peut coûter cher, l'ajout de variables à l'enregistrement d'audit ne l'est pas.
Ajoute des paramètres de commande aux événements d'audit execv. L'ajout des paramètres de commande à l'enregistrement d'audit ne coûte pas cher.
Ajoute un jeton de groupe aux événements d'audit qui comprennent un jeton newgroups facultatif.
Ajoute un jeton path aux événements d'audit qui comprennent un jeton path facultatif.
Si des événements de fichier sont audités, ajoute un événement à la piste d'audit à chaque fois qu'un événement auditable se produit sur un objet public. Les classes de fichier comprennent fa, fc, fd, fm, fr, fw et cl. Pour la définition d'un fichier public, reportez-vous à la section Terminologie et concepts de l'audit.
Ajoute un jeton sequence à chaque événement d'audit.
Ajoute un jeton trailer à chaque événement d'audit.
Sur un système qui est configuré avec Trusted Extensions, ajoute des événements lorsque les informations d'une fenêtre étiquetée sont rétrogradées.
Sur un système qui est configuré avec Trusted Extensions, ajoute des événements lorsque les informations d'une fenêtre étiquetée sont mises à niveau.
Ajoute le nom de zone à chaque événement d'audit. Si la zone globale est la seule zone configurée, ajoute la chaîne zone, global à chaque événement d'audit.
L'enregistrement d'audit suivant montre l'utilisation de la commande ls. La classe ex est auditée et la stratégie par défaut est en cours d'utilisation :
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
Ci-dessous, le même enregistrement lorsque toutes les stratégies sont activées :
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
Utilisez le plug-in audit_syslog pour envoyer des événements d'audit à syslog.
N'envoyez pas ces événements d'audit au plug-in audit_binfile ou audit_remote. Cette stratégie fonctionne uniquement si vous n'êtes pas obligé de conserver des enregistrements binaires des événements d'audit que vous envoyez aux journaux syslog.
Définissez moins d'indicateurs d'audit système et d'utilisateurs individuels d'audit.
Diminuez l'audit pour l'ensemble des utilisateurs en réduisant le nombre de classes d'audit qui font l'objet d'un audit à l'échelle du système.
Utilisez le mot-clé audit_flags pour les commandes roleadd, rolemod, useradd et usermod afin d'auditer les événements pour des utilisateurs et des rôles spécifiques. Pour consulter des exemples, reportez-vous à l'Example 4–11 et à la page de manuel usermod(1M).
Utilisez les propriétés always_audit et never_audit de la commande profiles afin d'auditer les événements pour des profils de droits spécifiques. Pour plus d'informations, reportez-vous à la page de manuel profiles(1).
Créez votre propre classe d'audit.
Vous pouvez créer des classes d'audit sur votre site. Dans ces classes, placez uniquement les événements d'audit qu'il vous faut surveiller. Pour connaître cette procédure, reportez-vous à la section Ajout d'une classe d'audit.