7.3. 配置 审计 服务

包含审计日志文件的目录（通常为 /var/log/audit/）应位于单独的挂载点上。这可以防止其他进程消耗此目录的空间，并为审计守护进程提供准确的剩余空间检测。

指定单个审计日志文件的最大大小，必须设置为充分利用保存审计日志文件的分区上的可用空间。

max_log_file 参数指定最大文件大小（以 MB 为单位）。给出的值必须是数字。

在达到 max_log_file 中设置的限制后，决定要采取什么操作，应设置为 keep_logs 以防止审计日志文件被覆盖。

指定磁盘上剩余的可用空间量，该磁盘中触发 space_left_action 参数中设置的操作。必须设置一个数字，让管理员有足够的时间来响应，并释放磁盘空间。space_left 值取决于生成审计日志文件的速率。

如果 space_left 的值指定为整数，它将解释为绝对大小(MiB)。如果该值指定为 1 到 99 之间的数字，后跟一个百分比符号（例如 5%），则审计守护进程会根据包含 log_file 的文件系统的大小计算绝对大小（以 MB 为单位）。

建议您使用适当的通知方法将 space_left_action 参数设置为 email 或 exec。

指定触发 admin_space_left_action 参数中设置的操作的绝对最小可用空间量，必须将其设置为一个值，以便有足够的空间来记录管理员执行的操作。

此参数的数字值应小于 space_left 的数字值。您还可以在数字后面附加一个百分比符号（例如 1%），以便审计守护进程根据磁盘分区计算数值。

应设置为 single 来将系统置于单用户模式，并允许管理员释放一些磁盘空间。

指定当保存审计日志文件的分区上没有可用空间时触发的操作，必须设置为 halt 或 single。当审计无法记录事件时，这可确保系统关闭或以单用户模式运行。

指定当在包含审计日志文件的分区上检测到错误时触发的操作，必须设置为 syslog、single 或halt，具体取决于您处理硬件故障的本地安全策略。

应设置为 incremental_async。它与 freq 参数结合使用，该参数决定了在强制与硬盘进行硬盘同步前可以将多少条记录发送到磁盘。freq 参数应设置为 100。这些参数可确保审计事件数据与磁盘上的日志文件同步，同时保持良好的活动性能。