監査ログ・ファイルの管理

Cloud Controlのリアルタイム・モニタリングでは、監査ログが読み取られるのみであり、ログが削除されることはありません。このため、システムにログ・ファイルがあふれて、追加のイベントのロギングができなくなることがあります。監視の最小要件を保持しながら古い監査イベントを管理および削除するには、次のステップに従います。

1. 監査ポリシーを設定して、すべてのプロセスを一時停止するのではなく、新しいイベントを自動的に削除することができます(削除イベントの件数のみを記録)。これには、次のコマンドを実行します。

   # auditconfig -setpolicy cnt

2. 次のコマンドを実行すると、監査デーモンが現在の監査ログ・ファイルを閉じて、新しいログ・ファイルを使用するように強制されます。

   /usr/sbin/audit -n

3. 次のコマンドを実行すると、閉じている既存の監査ログ・ファイルがすべて.trashという拡張子の1つのファイルにマージされ、続いてそれらのファイルが削除されます。

   /usr/sbin/auditreduce -D trash

4. 前述のステップ2と3でコマンドを定期的に実行するためのcronジョブを作成します。これらの2つのコマンドを実行する頻度は、予測されるイベント件数と監査に割り当てられているディスク領域の容量に基づいて調整できます。要件は、audit -sコマンドとauditreduce - D trashコマンドの間の時間が15分間以上あるか、報告期間の2倍(変更された場合)であることのみです。