7.3. audit サービスの設定

Audit ログファイル（通常は /var/log/audit/）を保持するディレクトリーは、別のマウントポイントに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。

1 つの Audit ログファイルの最大サイズを指定します。これは、Audit ログファイルを保持するパーティションで利用可能な領域を完全に使用するように設定する必要があります。

max_log_file パラメーターは、最大ファイルサイズをメガバイトで指定します。指定する値は、数値にする必要があります。

max_log_file に設定された制限に達すると実行するアクションを決定します。Audit ログファイルが上書きされないように keep_logs に設定する必要があります。

space_left_action パラメーターに設定したアクションがトリガーされるディスクに残っている空き領域の量を指定します。管理者は、ディスクの領域を反映して解放するのに十分な時間を設定する必要があります。space_left の値は、Audit ログファイルが生成される速度によって異なります。

space_left の値が整数として指定される場合、絶対サイズ(MiB)として解釈されます。値が 1 から 99 までの数字とそれに続くパーセンテージ記号(5% など)として指定される場合、監査デーモンは log_file を含むファイルシステムのサイズに基づいて絶対サイズをメガバイト単位で計算します。

適切な通知方法を使用して、space_left_action パラメーターを email または exec に設定することが推奨されます。

admin_space_left_action パラメーターに設定されたアクションがトリガーされる空き領域の絶対最小量を指定します。これは、管理者が実行するアクションをログに記録するのに十分な領域を残す値に設定する必要があります。

このパラメーターの数値は、space_left の数字よりも小さくする必要があります。また、数値にパーセント記号を追加 (1% など) して、Audit デーモンが、ディスクパーティションサイズに基づいて、数値を計算するようにすることもできます。

single に設定してシステムをシングルユーザーモードにし、管理者がディスク領域を解放できるようにします。

Audit ログファイルを保持するパーティションに空き領域がない場合に発生するアクションを指定します。halt または single に設定する必要があります。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。

Audit ログファイルを保持するパーティションでエラーが検出された場合に発生するアクションを指定します。ハードウェアの誤作動処理に関するローカルセキュリティーポリシーに応じて、syslog、single、または halt に設定する必要があります。

incremental_async に設定する必要があります。これは freq パラメーターと組み合わせて機能し、ハードドライブとのハード同期を強制する前にディスクに送信できるレコードの数を決定します。freq パラメーターは 100 に設定する必要があります。このパラメーターにより、アクティビティーが集中した際に高いパフォーマンスを保ちつつ、Audit イベントデータがディスクのログファイルと確実に同期されるようになります。