다음 기술은 조직의 보안 목표를 달성하면서 더욱 효율적으로 감사하는 데 도움이 될 수 있습니다.
가능한 한 많은 감사 클래스에 대해 시스템 전역이 아닌 사용자 및 역할에 대한 감사 클래스만 사전 선택합니다.
특정 시점에 사용자의 일부만 무작위로 감사합니다.
audit_binfile 플러그인이 활성화된 경우 파일을 필터링, 병합 및 압축하여 감사에 대한 디스크 저장소 요구 사항을 줄입니다. 파일 아카이브, 이동식 매체로 파일 전송 및 원격으로 파일 저장을 위한 절차를 개발합니다.
비정상적인 동작에 대해 감사 데이터를 실시간으로 모니터링합니다.
audit_syslog 플러그인 – syslog 파일에서 감사 레코드를 처리하기 위해 이미 개발한 관리 및 분석 도구를 확장할 수 있습니다.
audit_binfile 플러그인 - 특정 작업에 대한 감사 추적을 모니터링하기 위한 절차를 설정할 수 있습니다. 비정상적인 이벤트 감지 시 특정 사용자나 특정 시스템에 대한 감사 자동 증가를 트리거하는 스크립트를 작성할 수 있습니다.
예를 들어, 다음을 수행하는 스크립트를 작성할 수 있습니다.
감사되는 시스템에서 감사 파일 만들기를 모니터합니다.
tail 명령을 사용하여 감사 파일을 처리합니다.
tail -0f 명령에서 praudit 명령을 통한 출력 파이프는 레코드가 생성될 때 감사 레코드 스트림을 반환할 수 있습니다. 자세한 내용은 tail(1) 매뉴얼 페이지를 참조하십시오.
비정상적인 메시지 유형 또는 기타 지표에 대해 이 스트림을 분석하고, 감사자에게 분석을 전달합니다.
또는 스크립트를 사용하여 자동 응답을 트리거할 수 있습니다.
감사 파일 시스템에서 새로운 not_terminated 감사 파일 출현을 지속적으로 모니터합니다.
해당 파일이 더 이상 쓰여지지 않는 경우 남아 있는 tail 프로세스를 종료합니다.