如果使用 audit_binfile 插件,存储成本是最主要的审计成本。审计数据量取决于以下各项:
用户数
系统数
使用量
所需的可追溯与可定责程度
由于上述因素随站点不同而不同,因此没有公式可以预先确定为审计数据存储预留的磁盘空间量。可以使用下列信息作为参考:
了解审计类
配置审计之前,应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审计记录的收集。
精心预选审计类,以减少生成的记录量。
完全审计(即,使用 –all 类)会很快填满磁盘空间。即使是简单的任务(例如编译某个程序)也可能会生成很大的审计文件。一个大小中等的程序在一分钟之内就可能生成数以千计的审计记录。
例如,省略 –file_read 审计类 fr 可以显著减少审计量。通过选择仅针对失败操作进行审计,有时也可以减少审计量。例如,与针对所有 file_read 事件进行审计相比,针对失败的 file_read 操作进行审计(即,使用 -fr)而生成的记录会少很多。
如果使用 audit_binfile 插件,有效的审计文件管理也很重要。例如,您可以压缩一个专用于审计文件的 ZFS 文件系统。
确立站点审计的思路。
根据站点所需的可追溯程度以及管理的用户类型等度量,建立自己的理念。