セキュリティーポリシーで、すべての監査データを保存することが必須である場合は、次の手順を確認して、監査レコードの損失を防止してください。
audit_binfile プラグインで、最小空き容量サイズを設定します。
p_minfree 属性を使用します。
ディスク容量が最小空き容量サイズまでいっぱいになると、audit_warn 電子メールエイリアスによって警告が送信されます。Example 4–7 を参照してください。
監査ファイルを定期的に保存するスケジュールを設定します。
ファイルをオフラインのメディアにバックアップして、監査ファイルを保管します。これらのファイルを保存ファイルシステムに移動することもできます。
syslog ユーティリティーを使用してテキスト監査ログを収集している場合は、テキストログをアーカイブします。詳細は、logadm(1M) のマニュアルページを参照してください。
補助情報を保存し保管します。
監査レコードの解釈に必要な情報を、監査トレールとともに格納します。少なくとも、passwd、group、および hosts ファイルを保存します。また、audit_event および audit_class ファイルもアーカイブすることがあります。
保管した監査ファイルの記録をとります。
保存したメディアを適切な方法で保管します。
ZFS 圧縮を有効にすることによって、必要なファイルシステム容量を削減します。
監査ファイル専用の ZFS ファイルシステムでは、圧縮によってファイルが大幅に縮小されます。例については、専用ファイルシステム上の監査ファイルを圧縮する方法を参照してください。
Oracle Solaris 11.2 での ZFS ファイルシステムの管理 のZFS の圧縮、複製解除、暗号化のプロパティー間の関連も参照してください。
サマリーファイルを作成して、格納する監査データのボリュームを削減します。
監査トレールからサマリーファイルを抽出するには、auditreduce コマンドのオプションを使用します。サマリーファイルには、指定された種類の監査イベントのレコードだけが含まれます。サマリーファイルを抽出するには、Example 5–4 およびExample 5–6 を参照してください。