7.3. 監査 サービスの設定
Audit デーモンは
/etc/audit/auditd.conf 設定ファイルで設定できます。このファイルは、Audit デーモンの動作を変更する設定パラメーターで構成されます。空の行やハッシュ記号(#)の後に続くテキストは無視されます。以下を参照してください。 auditd.conf(5) man ページは、すべての設定パラメーターとその説明の完全リストを提供します。
7.3.1. CAPP 環境での auditd の設定
デフォルトの
auditd 設定は、ほとんどの環境に適しています。ただし、ご使用の環境が Common Criteria 証明書の一部である Controlled Access Protection Profile (CAPP)で設定されている基準を満たす必要がある場合は、Audit デーモンを以下の設定で設定する必要があります。
- Audit ログファイル(通常は
/var/log/audit/)を保持するディレクトリーは、別のパーティションに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。 - 1 つの Audit ログファイルの最大サイズを指定する
max_log_fileパラメーターは、Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。 - に設定されている制限に
max_log_file達すると実行するアクションを指定するmax_log_file_actionパラメーターは、Audit ログファイルが上書きされないようkeep_logsに設定する必要があります。 space_leftパラメーターで設定したアクションがトリガーされるディスク上に残される空き領域の量を指定するspace_left_actionパラメーターは、管理者がディスク領域に対応および解放するのに十分な時間を設定する必要があります。このspace_left値は、Audit ログファイルが生成される速度によって異なります。space_left_actionパラメーターをexec適切な通知方法に設定emailすることが推奨されます。admin_space_leftパラメーターで設定したアクションがトリガーされるディスクの最小領域の最小量を指定するadmin_space_left_actionパラメーターは、管理者が実行するアクションのログを記録するのに十分な領域を残す値に設定する必要があります。admin_space_left_actionパラメーターは、システムをsingleシングルユーザーモードにし、管理者がディスク領域を解放できるように設定する必要があります。disk_full_actionパラメーター。Audit ログファイルを保持するパーティションに空き領域がない場合にトリガーされる動作を指定します。このパラメーターは、haltまたはに設定する必要がありsingleます。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。disk_error_action。Audit ログファイルを保持するパーティションでエラーが検出された場合に発生するアクションを指定する、、、、または、ハードウェアの誤作動の処理に関するローカルのセキュリティーポリシーに応じてhalt、、syslogsingleまたはを設定する必要があります。flush設定パラメーターはsyncまたはに設定する必要がありdataます。このパラメーターにより、すべての Audit イベントデータがディスクのログファイルと完全に同期されます。
残りの設定オプションは、ローカルのセキュリティーポリシーに合わせて設定します。
