macOSの監査ログの保存期間を長くする

コード

今回は、CIS macOS 10.15 Benchmarkの3.3 Ensure security auditing retentionで求められる、監査ログの保持に関する設定を見ていきます。

3.3 Ensure security auditingの内容

この項目はセキュリティ監査ログを60日もしくは1GB保持するという内容です。

セキュリティ監査ログには、セキュリティまたは運用上の問題を調査するための重要な情報が含まれています。このログが完全に役立つのは、エンジニアが異常の根本原因を見つけられるように十分長く保持されている場合のみです。

よって、セキュリティ監査ログの保持期間をデフォルト設定から変更し、ある程度の期間、サイズ保持できるようにしていきます。

設定の確認と変更

はい、今回もまたJamfで動かせるようにコードを書いております。

GitHub - samuraidays/increase-1gb-auditlog: increase-1gb-auditlog
increase-1gb-auditlog. Contribute to samuraidays/increase-1gb-auditlog development by creating an account on GitHub.
// チェックコマンド
Check_Flag=`cat /etc/security/audit_control | egrep expire-after`

// 変更コマンド
CMD=`sed -i '' -e "s/expire-after:10M/expire-after:60D OR 1G/g" /etc/security/audit_control`

// 判定
if [ ${Check_Flag} = 'expire-after:60D OR 1G' ]

確認するのは/etc/security/audit_controlファイルです。このファイルはセキュリティ監査ログの設定ファイルです。

このファイル内の ‘expire-after’ は監査ログ期限の設定になります。
この設定値を変更していきます。

セキュリティ監査ログの場所

セキュリティ監査ログは/var/auduitフォルダに格納されています。よって、上記の設定を行うことで、ここのログ保持期間が変更されます。

セキュリティ監査ログについては下記の記事でも触れています。

おわりに

今回もmacOSのセキュリティ監査ログに関する設定を見ていきました。

ログを保持することで何がいいの?ってお話ですが、これはフォレンジック調査のときに大きく結果が変わってくる項目だと思います。体制を整えることができれば、これらのファイルを吸い上げて、監視していくことも可能でしょう。

タイトルとURLをコピーしました