如果安全策略要求保存所有审计数据,请遵循以下做法以防止审计记录丢失。
设置 audit_binfile 插件上的最小空闲大小。
使用 p_minfree 属性。
磁盘空间满足最小空闲大小时,audit_warn 电子邮件别名将发送警告。请参见Example 4–7。
设置计划安排以定期归档审计文件。
通过将文件备份到脱机介质来归档审计文件。此外,还可以将这些文件移动到归档文件系统。
如果正在使用 syslog 实用程序收集文本审计日志,请归档文本日志。有关更多信息,请参见 logadm(1M) 手册页。
保存和存储辅助信息。
归档解释审计记录与审计迹所需的信息。至少应保存 passwd、group 和 hosts 文件。也可以将 audit_event 和 audit_class 文件归档。
保留已归档审计文件的记录。
正确存储归档介质。
减少启用 ZFS 压缩所需的文件系统容量。
在专用于审计文件的 ZFS 文件系统上,压缩将大大缩小文件。有关示例,请参见如何压缩专用文件系统上的审计文件。
另请参见在 Oracle Solaris 11.2 中管理 ZFS 文件系统 中的ZFS 压缩、重复数据删除和加密属性之间的交互。
通过创建摘要文件,减少存储的审计数据量。
可以使用 auditreduce 命令的选项从审计迹中提取摘要文件。摘要文件只包含指定类型审计事件的记录。要提取摘要文件,请参见Example 5–4 和Example 5–6。