7.3. 監査 サービスの設定
Audit デーモンは
/etc/audit/auditd.conf
設定ファイルで設定できます。このファイルは、Audit デーモンの動作を変更する設定パラメーターで構成されます。空の行やハッシュ記号(#
)の後に続くテキストは無視されます。以下を参照してください。 auditd.conf(5) man ページは、すべての設定パラメーターとその説明の完全リストを提供します。
7.3.1. CAPP 環境での auditd
の設定
デフォルトの
auditd
設定は、ほとんどの環境に適しています。ただし、ご使用の環境が Common Criteria 証明書の一部である Controlled Access Protection Profile (CAPP)で設定されている基準を満たす必要がある場合は、Audit デーモンを以下の設定で設定する必要があります。
- Audit ログファイル(通常は
/var/log/audit/
)を保持するディレクトリーは、別のパーティションに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。 - 1 つの Audit ログファイルの最大サイズを指定する
max_log_file
パラメーターは、Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。 - に設定されている制限に
max_log_file
達すると実行するアクションを指定するmax_log_file_action
パラメーターは、Audit ログファイルが上書きされないようkeep_logs
に設定する必要があります。 space_left
パラメーターで設定したアクションがトリガーされるディスク上に残される空き領域の量を指定するspace_left_action
パラメーターは、管理者がディスク領域に対応および解放するのに十分な時間を設定する必要があります。このspace_left
値は、Audit ログファイルが生成される速度によって異なります。space_left_action
パラメーターをexec
適切な通知方法に設定email
することが推奨されます。admin_space_left
パラメーターで設定したアクションがトリガーされるディスクの最小領域の最小量を指定するadmin_space_left_action
パラメーターは、管理者が実行するアクションのログを記録するのに十分な領域を残す値に設定する必要があります。admin_space_left_action
パラメーターは、システムをsingle
シングルユーザーモードにし、管理者がディスク領域を解放できるように設定する必要があります。disk_full_action
パラメーター。Audit ログファイルを保持するパーティションに空き領域がない場合にトリガーされる動作を指定します。このパラメーターは、halt
またはに設定する必要がありsingle
ます。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。disk_error_action
。Audit ログファイルを保持するパーティションでエラーが検出された場合に発生するアクションを指定する、、、、または、ハードウェアの誤作動の処理に関するローカルのセキュリティーポリシーに応じてhalt
、、syslog
single
またはを設定する必要があります。flush
設定パラメーターはsync
またはに設定する必要がありdata
ます。このパラメーターにより、すべての Audit イベントデータがディスクのログファイルと完全に同期されます。
残りの設定オプションは、ローカルのセキュリティーポリシーに合わせて設定します。