Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo evitar el desbordamiento de la pista de auditoría

Si la política de seguridad requiere que todos los datos de auditoría se guarden, evite la pérdida de registros de auditoría cumpliendo con las siguientes prácticas.

Notas -  Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  • Establezca un tamaño libre mínimo en el complemento audit_binfile.

    Utilice el atributo p_minfree.

    El alias de correo electrónico audit_warn envía una advertencia cuando el espacio en disco llega al tamaño libre mínimo. Consulte el Example 4–7.

  • Configure un programa para archivar con regularidad los archivos de auditoría.

    Almacene los archivos de auditoría mediante una copia de los archivos en los medios sin conexión. También puede mover los archivos a un sistema de archivos de almacenamiento.

    Si recopila logs de auditoría de texto con la utilidad syslog, archive los logs de texto. Para obtener más información, consulte la página del comando man logadm(1M).

  • Establezca un programa para suprimir los archivos de auditoría archivados del sistema de archivos de auditoría.

  • Guarde y almacene información auxiliar.

    Archive la información que sea necesaria para interpretar los registros de auditoría junto con la pista de auditoría. Como mínimo, guarde los archivos passwd, group y hosts. También podría archivar los archivos audit_event y audit_class.

  • Mantenga registros de qué archivos de auditoría se han archivado.

  • Almacene los medios archivados adecuadamente.

  • Reduzca la cantidad de capacidad del sistema de archivos que se necesita activando la compresión ZFS.

    En un sistema de archivos ZFS que está dedicado a archivos de auditoría, la compresión reduce los archivos considerablemente. Para ver un ejemplo, consulte Cómo comprimir archivos de auditoría en un sistema de archivos dedicado.

    Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .

  • Reduzca el volumen de los datos de auditoría que almacene mediante la creación de archivos de resumen.

    Puede extraer archivos de resumen de la pista de auditoría mediante las opciones en el comando auditreduce. Los archivos de resumen contienen únicamente registros para tipos especificados de eventos de auditoría. Para extraer archivos de resumen, consulte el Example 5–4 y el Example 5–6.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente