Si utiliza el complemento audit_binfile, el costo de almacenamiento es el costo más significativo para la auditoría. La cantidad de datos de auditoría depende de lo siguiente:
Número de usuarios
Número de sistemas
Cantidad de uso
Grado de rastreabilidad y responsabilidad necesario
Debido a que estos factores varían de sitio en sitio, ninguna fórmula puede predeterminar la cantidad de espacio en disco que se debe destinar al almacenamiento de datos de auditoría. Utilice la siguiente información como guía:
Comprenda las clases de auditoría.
Antes de configurar la auditoría, debe comprender los tipos de eventos que las clases contienen. Puede cambiar las asignaciones de evento-clase de auditoría para optimizar la recopilación de registros de auditoría.
Preseleccione las clases de auditoría con cuidado para reducir el volumen de registros que se generan.
La auditoría completa, es decir, con la clase –all, llena el espacio en disco rápidamente. Incluso una simple tarea, como compilar un programa podría generar un archivo de auditoría de gran tamaño. Un programa de tamaño moderado podría generar miles de registros de auditoría en menos de un minuto.
Por ejemplo, si se omite la clase de auditoría –file_read, fr, puede reducir significativamente el volumen de auditoría. Si selecciona auditar operaciones fallidas, sólo a veces puede reducir el volumen de auditoría. Por ejemplo, si realiza una auditoría de operaciones fallidas file_read, -fr, puede generar muchos menos registros que si realiza una auditoría de todos los eventos file_read.
Si utiliza el complemento audit_binfile, la gestión eficiente de archivos de auditoría es también importante. Por ejemplo, puede comprimir un sistema de archivos ZFS dedicado a archivos de auditoría.
Desarrolle una filosofía de auditoría para su sitio.
Base la filosofía en medidas como el nivel de rastreabilidad que su sitio requiere y los tipos de usuarios que administra.