Audit ログファイル（通常は /var/log/audit/）を保持するディレクトリーは、別のマウントポイントに存在する必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。

1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。

max_log_file に設定された制限に達すると実行するアクションを決定します。Audit ログファイルが上書きされないように keep_logs に設定する必要があります。

space_left_action パラメーターに設定したアクションが発生するディスクの空き容量を指定します。管理者は、ディスクの領域を反映して解放するのに十分な時間を設定する必要があります。space_left の値は、Audit ログファイルが生成される速度によって異なります。

適切な通知方法で space_left_action パラメーターを email または exec に設定することを推奨します。

admin_space_left_action パラメーターに設定したアクションが発生するディスクの空き領域の最小容量を指定します。管理者が実行するアクションのログを記録するのに十分な容量を確保する値に設定する必要があります。

single を、システムをシングルユーザーモードにし、管理者がディスク領域を解放できるようにします。

Audit ログファイルが含まれるパーティションに空き領域がない場合に発生するアクションを指定します (halt または single に設定する必要があります)。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。

Audit ログファイルが含まれるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーに基づいて、syslog、single、halt のいずれかに設定する必要があります。

incremental_async に設定する必要があります。これは freq パラメーターと組み合わせて機能します。これは、ハードドライブとのハード同期を強制する前にディスクに送信できるレコードの数を指定します。freq パラメーターは 100 に設定する必要があります。このパラメーターにより、アクティビティーが集中した際に高いパフォーマンスを保ちつつ、Audit イベントデータがディスクのログファイルと確実に同期されるようになります。