次の方法により、組織のセキュリティー目標を達成する一方で、監査効率を高めることができます。
一回にある一定の割合のユーザーのみをランダムに監査します。
audit_binfile プラグインがアクティブな場合は、ファイルのフィルタリング、マージ、および圧縮によって、監査ファイルに対するディスクストレージの要件を軽減します。ファイルを保管する手順、リムーバブルメディアにファイルを転送する手順、およびファイルをオフラインで格納する手順を決定します。
audit_syslog プラグイン – すでに開発している管理および分析ツールを、syslog ファイル内の監査レコードを処理するように拡張できます。
audit_binfile プラグイン – 特定の動作の監査トレールをモニターするための手順を設定できます。異常なイベントが検出された場合に、それに応じて特定のユーザーまたは特定のシステムの監査レベルを自動的に上げるようなスクリプトを作成します。
監査対象システム上での監査ファイルの作成をモニターします。
tail コマンドを使用して、監査ファイルを処理します。
tail -0f コマンドから praudit コマンドに出力をパイプすることにより、レコードが生成されたときに監査レコードのストリームを生成できます。詳細は、tail(1) のマニュアルページを参照してください。
このストリームを分析して異常なメッセージの種類やほかの兆候を調べ、または監査担当者に分析を配信します。
また、このスクリプトを使用して、自動応答を発生させることもできます。
新しい not_terminated 監査ファイルが発生していないかどうか、監査ファイルシステムを常時モニターします。
監査ファイルに書き込めなくなったときに、未処理の tail プロセスを終了します。