Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.3. audit サービスの設定
Audit デーモンは、
/etc/audit/auditd.conf
ファイルで設定することができます。このファイルは、Audit デーモンの動作を変更する設定パラメーターで構成されています。ハッシュ記号 (#
) に続く空の行とテキストは無視されます。詳細は、auditd.conf(5) の man ページをご覧ください。
7.3.1. セキュアな環境への auditd
の設定
デフォルトの
auditd
設定は、ほとんどの環境に適しています。ただし、厳格なセキュリティーポリシーに対応する必要がある場合は、/etc/audit/auditd.conf
ファイルの Audit デーモン設定に以下の設定が推奨されます。
- log_file
- Audit ログファイル (通常は
/var/log/audit/
) を保持するディレクトリーは、別のマウントポイントにマウントされている必要があります。これにより、その他のプロセスがこのディレクトリー内の領域を使用しないようにし、Audit デーモンの残りの領域を正確に検出します。 - max_log_file
- 1 つの Audit ログファイルの最大サイズを指定します。Audit ログファイルを保持するパーティションで利用可能な領域をすべて使用するように設定する必要があります。
- max_log_file_action
max_log_file
に設定した制限に達したときに実行するアクションを決定します。Audit ログファイルが上書きされないようにkeep_logs
に設定する必要があります。- space_left
space_left_action
パラメーターで設定されたアクションがトリガーされるディスクに残っている空き領域の量を指定します。管理者は、ディスクの領域を反映して解放するのに十分な時間を設定する必要があります。space_left
の値は、Audit ログファイルが生成されるレートによって異なります。- space_left_action
- 適切な通知方法を使用して、
space_left_action
パラメーターをemail
またはexec
に設定することをお勧めします。 - admin_space_left
admin_space_left_action
パラメーターで設定されたアクションがトリガーされる空きスペースの絶対最小量を指定します。これは、管理者によって実行されたアクションをログに記録するのに十分なスペースを残す値に設定する必要があります。- admin_space_left_action
single
を、システムをシングルユーザーモードにし、管理者がディスク領域を解放できるようにします。- disk_full_action
- Audit ログファイルが含まれるパーティションに空き領域がない場合に発生するアクションを指定します (
halt
またはsingle
に設定する必要があります)。これにより、Audit がイベントをログに記録できなくなると、システムは、シングルユーザーモードでシャットダウンまたは動作します。 - disk_error_action
- Audit ログファイルが含まれるパーティションでエラーが検出された場合に発生するアクションを指定します。このパラメーターは、ハードウェアの機能不全処理に関するローカルのセキュリティーポリシーに基づいて、
syslog
、single
、halt
のいずれかに設定する必要があります。 - flush
incremental_async
に設定する必要があります。これはfreq
パラメーターと組み合わせて機能します。これは、ハードドライブとのハード同期を強制する前にディスクに送信できるレコードの数を指定します。freq
パラメーターは100
に設定する必要があります。このパラメーターにより、アクティビティーが集中した際に高いパフォーマンスを保ちつつ、Audit イベントデータがディスクのログファイルと確実に同期されるようになります。
残りの設定オプションは、ローカルのセキュリティーポリシーに合わせて設定します。