監査レポートの生成

監査データを検索し、ausearchおよびaureportコマンドを使用して監査レポートを生成します。

厳格な監査要件を設定すると、大量の監査データが生成され、パフォーマンス・オーバーヘッドが大きくなります。一部のサイト・セキュリティ・ポリシーでは、監査ボリュームが容量を超えるためにイベントを記録できない場合は、システムをシャットダウンする必要があることを明文化しています。オーバー・フィルを防止し、バックアップを容易にするために、監査データをローテーション内の別のファイル・システムに送信することをお薦めします。

監査レコードをタグ付けすると、ausearchコマンドを実行してそれらのタグを参照することで、監査ボリュームの検索がより簡単になります。たとえば、文字列sudoers-changeでタグ付けされたレコードを調べるには、次のコマンドを実行します:

sudo ausearch -k sudoers-change

aureportコマンドは、監査データのサマリーを生成します。たとえば、次のコマンドは、前日の午前0時の1秒後から現在時刻までのすべてのサインイン・イベントを示すレポートを生成します。

sudo aureport -l -i -ts yesterday -te now

詳細は、ausearch(8)およびaureport(8)の各マニュアル・ページを参照してください。

aureportを定期的に実行するcronジョブまたはsystemdタイマーを設定して、目的のレポートを生成することもできます。これらのタスクのスケジュールの詳細は、「Oracle Linux 8: cronを使用したシステム・タスクの自動化」および「Oracle Linux 8: systemdを使用したシステムの管理」を参照してください。