auditdのログ容量の設定

auditdは設定によっては多くのログを出力しますので、ログの世代管理、ディスク容量がいっぱいになった場合の対応などシステム全体に影響を与えないように設定するようにします。

下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』

ログファイルのサイズを制限するには?


 
・/etc/audit/auditd.confの”max_log_file”で設定します。単位はMBです。6MBに制限する場合は下記のように設定します。
 
max_log_file = 6
 

ログファイル用の専用のパーティションまたは論理ボリュームを用意する


 
・専用のパーティションにログファイルを出力する事によって、auditdのログが増えてシステム全体の機能に影響を与えたり、逆に/varディレクトリ内の他のログによって/var内の容量がいっぱいになってauditdのログが取得できなくなってしまうといった事を防ぐ事が出来ます。
 
・途中で追加するのは手間がかかるので、インストール時に専用のパーティションまたは論理ボリュームを用意するようにします。
 
・パーティションは、/var/log/auditにマウントする事が推奨されます。
 
・パーティションのサイズは、ログの最大サイズ(max_log_file)とログファイルの世代数(num_logs)の積以上にします。
 

ディスク容量が少なく監査できない場合の動作を定義


 
・ログの最大量に達した場合に、ログファイルをローテートせずにログを取り続けたい場合
 
/etc/audit/auditd.confに下記設定
 
max_log_file_action = keep_logs
 
・ログ容量が少なくなったらシステムを停止したい場合
 
/etc/audit/auditd.confに下記設定
 
space_left_action = email
action_mail_acct = root
admin_space_left_action = halt

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です