ユーザーアクションを原因としない監査イベントと監査クラスの対応関係を設定する方法

1. まずラベル admin_low でセキュリティ管理者になって、カーネルの事前選択マスクが audit_control(4) ファイルの naflags: フィールドのユーザーアクションを原因としないイベントに一致していることを確認します。そのためには次のコマンドを実行します。

   $ auditconfig -getkmask

イベントが異なる場合には次のコマンドを実行します。

$ auditconfig -setkmaskac