カーネルイベント

カーネル (システムコール) が生成するイベントには、1 から 2047 までのイベント番号が割り当てられています。カーネルイベントのイベント名は AUE_ で始まり、イベントのニーモニックが大文字で続きます。たとえば、creat() システムコールのイベント番号は 4、イベント名は AUE_CREAT です。

カーネルイベントの中には、特権の使用法の判断を監査する AUE_UPRIV という疑似イベントが 1 つ定義されています。

AUE_UPRIV 疑似イベントを事前選択していると、カーネルイベントの監査を指定していなくても、監査情報が収集されます。たとえば、カーネルイベント AUE_OPEN_R の監査を指定していなくても、特権の使用法の判断がシステムコール AUE_OPEN_R の一部であれば、疑似イベント AUE_UPRIV が有効となり、AUE_OPEN_R が監査トレールに書き込まれます。