各マウントポイントには、Audit ログファイル (通常 /var/log/audit/) を保持するディレクトリーが必要になります。これにより、このディレクトリーの領域をその他のプロセスが使用しないようにし、Audit デーモンの残りのスペースの正確な検出を提供します。

1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。

max_log_file に設定した制限に達すると発生するアクションを指定します。Audit ログファイルが上書きされないないようにするには、keep_logs に設定する必要があります。

space_left_action パラメーターに設定したアクションを発生させる、ディスクの空き領域サイズを指定します。この制限に達したときに管理者が十分対応できるだけの時間を設定する必要があります。space_left 値は、Audit ログファイルが生成される速度によって異なります。

space_left_action パラメーターは、email または exec など、適切な通知方法に設定することが推奨されます。

admin_space_left_action パラメーターに設定したアクションが発生するディスクの空き領域の最小サイズ。管理者が実行するアクションのログを記録するのに十分なサイズを残す必要があります。

single を、システムをシングルユーザーモードにし、監理者がディスク領域を解放できるようにします。

Audit ログファイルを保持するパーティションで空き領域がない場合に発生するアクションを指定します。halt または single に設定する必要があります。このように設定すると、Audit がイベントをログに記録できなくなると、システムはシャットダウンまたはシングルユーザーモードで動作します。

Audit ログファイルがあるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーによって、syslog、single、halt のいずれかに設定する必要があります。

incremental_async に設定してください。ハードドライブと強制同期する前にディスクに送信できる記録数を決める freq パラメーターと合わせて機能します。freq パラメーターは、100 に設定してください。これらのパラメーターにより、アクティビティーが集中した場合に高いパフォーマンスを保ちつつ、Audit イベントデータがディスク上のログファイルと確実に同期されるようにします。