审计事件

可以审计与安全相关的系统操作。这些可审计的操作称为审计事件。审计事件在 /etc/security/audit_event 文件中列出。在此文件中，会根据事件编号、符号名称、简短说明以及事件所属的审计类集定义每个审计事件。 有关 audit_event 文件的更多信息，请参见 audit_event(4) 手册页。

例如，以下项定义了 exec() 系统调用的审计事件：

7:AUE_EXEC:exec(2):ps,ex

当您预选审计类 ps 或审计类 ex 进行审计时，将在审计跟踪中记录 exec() 系统调用。

Solaris 审计可处理可归属事件和无归属事件。exec() 系统调用可归属到某个用户，因此可将该调用视为可归属事件。而在内核中断级别发生的事件则为无归属事件。对用户进行验证之前发生的事件也是无归属事件。na 审计类处理无归属审计事件。例如，引导系统便是一个无归属事件。

113:AUE_SYSTEMBOOT:system booted:na

预选某个审计事件所属的类以进行审计时，会在审计跟踪中记录此事件。例如，预选 ps 和 na 审计类以进行审计时，除其他事件之外，还会在审计跟踪中记录 exec() 系统调用和系统引导操作。

除 Solaris 审计服务定义的审计事件之外，第三方应用程序也可以生成审计事件。审计事件编号 32768 到 65535 适用于第三方应用程序。