사이트에서 감사해야 하는 이벤트를 확인한 후에는 다음 제안에 따라 필요한 정보만 포함된 감사 파일을 만듭니다. 플래그를 사용자, 역할, 권한 프로파일에 지정하려면 root 역할을 맡아야 합니다.
특히, 이벤트 및 감사 토큰을 감사 추적에 추가하지 마십시오. 다음 정책은 감사 추적의 크기를 늘립니다.
환경 변수를 execv 감사 이벤트에 추가합니다. execv 이벤트 감사는 비용이 많이 들 수 있지만 감사 레코드에 변수를 추가하는 것은 비용이 많이 들지 않습니다.
명령 매개변수를 execv 감사 이벤트에 추가합니다. 감사 레코드에 대한 명령 매개변수 추가는 비용이 많이 들지 않습니다.
선택적 newgroups 토큰이 포함된 감사 이벤트에 그룹 토큰을 추가합니다.
선택적 path 토큰이 포함된 감사 이벤트에 path 토큰을 추가합니다.
파일 이벤트가 감사되는 경우 감사 가능한 이벤트가 public object(공용 객체)에 발생할 때마다 감사 추적에 이벤트를 추가합니다. 파일 클래스에는 fa, fc, fd, fm, fr, fw 및 cl이 포함됩니다. 공용 파일에 대한 정의는 감사 용어 및 개념을 참조하십시오.
모든 감사 이벤트에 시퀀스 토큰을 추가합니다.
모든 감사 이벤트에 트레일러 토큰을 추가합니다.
Trusted Extensions로 구성된 시스템에서 레이블이 있는 창의 정보가 다운그레이드될 때 이벤트를 추가합니다.
Trusted Extensions로 구성된 시스템에서 레이블이 있는 창의 정보가 업그레이드될 때 이벤트를 추가합니다.
모든 감사 이벤트에 영역 이름을 추가합니다. 전역 영역이 유일하게 구성된 영역인 경우 모든 감사 이벤트에 zone, global 문자열을 추가합니다.
다음 감사 레코드는 ls 명령의 사용을 보여줍니다. ex 클래스가 감사되고 기본 정책을 사용 중입니다.
header,129,2,AUE_EXECVE,,mach1,2010-10-14 11:39:22.480 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 subject,jdoe,root,root,root,root,2404,50036632,82 0 mach1 return,success,0
다음은 모든 정책이 설정되었을 때 나타나는 동일한 레코드입니다.
header,1578,2,AUE_EXECVE,,mach1,2010-10-14 11:45:46.658 -07:00 path,/usr/bin/ls attribute,100555,root,bin,21,320271,18446744073709551615 exec_args,2,ls,/etc/security exec_env,49,MANPATH=/usr/share/man,USER=jdoe,GDM_KEYBOARD_LAYOUT=us,EDITOR=gedit, LANG=en_US.UTF-8,GDM_LANG=en_US.UTF-8,PS1=#,GDMSESSION=gnome,SESSIONTYPE=1,SHLVL=2, HOME=/home/jdoe,LOGNAME=jdoe,G_FILENAME_ENCODING=@locale,UTF-8, PRINTER=example-dbl, ... path,/lib/ld.so.1 attribute,100755,root,bin,21,393073,18446744073709551615 subject,jdoe,root,root,root,root,2424,50036632,82 0 mach1 group,root,other,bin,sys,adm,uucp,mail,tty,lp,nuucp,daemon return,success,0 zone,global sequence,197 trailer,1578
audit_syslog 플러그인을 사용하여 일부 감사 이벤트를 syslog로 보냅니다.
이러한 감사 이벤트를 audit_binfile 또는 audit_remote 플러그인으로 보내지 마십시오. 이 전략은 syslog 로그로 보내는 감사 이벤트의 이진 레코드를 보관할 필요가 없을 경우에만 유효합니다.
더 적은 시스템 전역 감사 플래그를 설정하고 개별 사용자를 감사합니다.
시스템 전역으로 감사되는 감사 클래스의 수를 줄여 모든 사용자에 대한 감사의 양을 줄입니다.
roleadd, rolemod, useradd 및 usermod 명령에 audit_flags 키워드를 사용하여 특정 사용자 및 역할에 대한 이벤트를 감사합니다. 예는 Example 4–11 및 usermod(1M) 매뉴얼 페이지를 참조하십시오.
profiles 명령의 always_audit 및 never_audit 등록 정보를 사용하여 특정 권한 프로파일에 대한 이벤트를 감사합니다. 자세한 내용은 profiles(1) 매뉴얼 페이지를 참조하십시오.
고유의 사용자 정의된 감사 클래스를 만듭니다.
해당 사이트에서 감사 클래스를 만들 수 있습니다. 모니터해야 하는 감사 이벤트만 이러한 감사 클래스에 추가합니다. 절차는 감사 클래스를 추가하는 방법을 참조하십시오.