成功した場合に監査されるイベント、失敗した場合に監査されるイベント、または両方の場合に監査されるイベントがあります。接頭辞を指定しなかったイベントのクラスは、成功した場合も失敗した場合も監査されます。プラス (+) 接頭辞が付いた場合、イベントのクラスは成功した場合のみが監査されます。マイナス (-) 接頭辞が付く場合、イベントのクラスは失敗した場合のみが監査されます。次の表に、監査クラスの例をいくつか示します。
表 31–2 接頭辞 (プラス記号、マイナス記号) の付いた監査クラス
[prefix] class |
意味 |
---|---|
lo |
成功したすべてのログインとログアウト、および失敗したすべてのログインを監査します。ログアウトが失敗することはありません。 |
+lo |
成功したすべてのログインとログアウトを監査します。 |
-all |
失敗したすべてのイベントを監査します。 |
+all |
成功したすべてのイベントを監査します。 |
all クラスを指定すると、大量のデータが生成され、監査ファイルシステムがすぐにいっぱいになる可能性があります。all クラスは、特別な理由ですべての活動を監査する場合にだけ使用してください。
キャレット接頭辞 ^ を使用すると、選択されている監査フラグをさらに変更できます。次の表は、キャレット接頭辞を使って選択済みの監査クラスを変更する方法を示したものです。
表 31–3 指定済みの監査クラスを変更するキャレット接頭辞
^[prefix]class |
意味 |
---|---|
-all,^-fc |
失敗したすべてのイベントを監査します。ただし、失敗したファイルシステムオブジェクト作成は監査しません |
am,^+aa | |
am,^ua |
成功または失敗したすべての管理イベントを監査します。ただし、ユーザー管理イベントは監査しません |
監査クラスとその接頭辞は、次のファイルとコマンドで使用できます。
audit_control ファイルの flags 行
audit_control ファイルの plugin:name=audit_syslog.so; p_flags= 行
audit_user データベース内のユーザーのエントリ
auditconfig コマンドオプションの引数として
audit_control ファイル内での接頭辞の使用例については、「audit_control ファイル」を参照してください。