以下方法可帮助您在更有效地进行审计的同时实现组织的安全目标。
一次只能对特定百分比的用户进行随机审计。
如果 audit_binfile 插件处于活动状态,可通过过滤、合并以及压缩文件来减少审计文件的磁盘存储要求。制订对文件进行归档、将文件传送到可移动介质和脱机存储文件的过程。
audit_syslog 插件-您可以扩展已开发的管理和分析工具,以处理 syslog 文件中的审计记录。
audit_binfile 插件-您可以设置针对某些活动监视审计迹的过程。可以编写一个脚本,以便检测到异常事件时,触发自动提升对特定用户或特定系统的审计。
在被审计系统上监视审计文件的创建。
使用 tail 命令处理审计文件。
通过 praudit 命令对 tail -0f 命令进行管道输出,可以在生成记录时产生审计记录流。有关更多信息,请参见 tail(1) 手册页。
分析此流以查看是否存在异常消息类型或其他指示符,并将分析结果提供给审计程序。
或者,可以使用脚本来触发自动响应。
经常监视审计文件系统,以查看是否有新的 not_terminated 审计文件出现。
当等待中的 tail 进程的文件不再被写入信息时,终止这些进程。