Después de determinar qué eventos deben auditarse en su sitio, utilice las siguientes sugerencias para crear los archivos de auditoría sólo con la información necesaria. Tenga en cuenta que, para asignar indicadores de auditoría a usuarios, roles y perfiles de derechos, debe asumir el rol root.
En concreto, evite agregar eventos y tokens de auditoría a la pista de auditoría. Las siguientes políticas aumentan el tamaño de la pista de auditoría.
Agrega variables de entorno a los eventos de auditoría execv. Si bien auditar eventos execv puede ser muy costoso, agregar variables al registro de auditoría no lo es.
Agrega parámetros de comandos a los eventos de auditoría execv. Agregar parámetros de comandos para el registro de auditoría no es costoso.
Agrega un token de grupo a los eventos de auditoría que incluyen un token newgroups opcional.
Agrega un token path a los eventos de auditoría que incluyen un token path opcional.
Si va a auditar eventos de archivos, agregue un evento a la pista de auditoría cada vez que ocurra un evento auditable en un objeto público. Las clases de archivos incluyen fa, fc , fd, fm, fr, fw y cl. Para la definición de un archivo público, consulte Conceptos y terminología de auditoría.
Agrega un token de secuencia a cada evento de auditoría.
Agrega un token de ubicador a cada evento de auditoría.
En un sistema configurado con Trusted Extensions, agrega eventos cuando se disminuye el nivel de la información en una ventana con etiqueta.
En un sistema configurado con Trusted Extensions, agrega eventos cuando se eleva el nivel de la información en una ventana con etiqueta.
Agrega el nombre de zona a cada evento de auditoría. Si la zona global es la única zona configurada, agrega la cadena zone, global a cada evento de auditoría.
El siguiente registro de auditoría muestra el uso del comando ls. La clase ex se está auditando y la política predeterminada está en uso:
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
A continuación, se muestra el mismo registro cuando se activan todas las políticas:
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
Utilice el complemento audit_syslog para enviar algunos eventos de auditoría a syslog.
No envíe dichos eventos de auditoría al complemento audit_binfile o audit_remote. Esta estrategia funciona sólo si no es necesario mantener registros binarios de los eventos de auditoría que envía a los registros syslog.
Defina menos indicadores de auditoría en todo el sistema y audite usuarios individuales.
Reduzca la cantidad de auditoría para todos los usuarios mediante la reducción del número de clases de auditoría que se auditan en todo el sistema.
Utilice la palabra clave audit_flags para los comandos roleadd, rolemod, useradd y usermod con el fin de auditar eventos de usuarios y roles específicos. Para ver ejemplos, consulte el Example 4–11 y la página del comando man usermod(1M).
Utilice las propiedades always_audit y never_audit del comando profiles para auditar eventos de perfiles de derechos específicos. Para obtener más información, consulte la página del comando man profiles(1).
Cree sus propias clases de auditoría personalizadas.
Puede crear clases de auditoría en el sitio. En estas clases, coloque sólo los eventos de auditoría que necesita supervisar. Para conocer el procedimiento, consulte Cómo agregar una clase de auditoría.