6.3. audit サービスの設定

Audit デーモンは、/etc/audit/auditd.conf ファイルに設定できます。このファイルは、Audit デーモンの挙動を修正する設定パラメーターから構成されます。空の行とハッシュ記号 (#) に続くテキストは無視されます。詳細は、man ページの auditd.conf(5) を参照してください。

6.3.1. セキュアな環境用の auditd 設定

デフォルトの auditd 設定は多くの環境に適している必要がありますが、環境が、厳格なセキュリティーポリシーに対応する必要がある場合は、/etc/audit/auditd.conf ファイルの Audit デーモン設定に対して以下の設定が推奨されます。
log_file
各マウントポイントには、Audit ログファイル (通常 /var/log/audit/) を保持するディレクトリーが必要になります。これにより、このディレクトリーの領域をその他のプロセスが使用しないようにし、Audit デーモンの残りのスペースの正確な検出を提供します。
max_log_file
1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。
max_log_file_action
max_log_file に設定した制限に達すると発生するアクションを指定します。Audit ログファイルが上書きされないないようにするには、keep_logs に設定する必要があります。
space_left
space_left_action パラメーターに設定したアクションを発生させる、ディスクの空き領域サイズを指定します。この制限に達したときに管理者が十分対応できるだけの時間を設定する必要があります。space_left 値は、Audit ログファイルが生成される速度によって異なります。
space_left_action
space_left_action パラメーターは、email または exec など、適切な通知方法に設定することが推奨されます。
admin_space_left
admin_space_left_action パラメーターに設定したアクションが発生するディスクの空き領域の最小サイズ。管理者が実行するアクションのログを記録するのに十分なサイズを残す必要があります。
admin_space_left_action
single を、システムをシングルユーザーモードにし、監理者がディスク領域を解放できるようにします。
disk_full_action
Audit ログファイルを保持するパーティションで空き領域がない場合に発生するアクションを指定します。halt または single に設定する必要があります。このように設定すると、Audit がイベントをログに記録できなくなると、システムはシャットダウンまたはシングルユーザーモードで動作します。
disk_error_action
Audit ログファイルがあるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、syslogsinglehalt のいずれかに設定する必要があります。
flush
incremental_async に設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決める freq パラメーターと合わせて機能します。freq パラメーターは、100 に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。
残りの設定オプションは、ローカルのセキュリティーポリシーにあわせて設定します。