审计类和预选

每个审计事件都属于一个或多个审计类。审计类是用于容纳大量审计事件的一种很方便的容器。预选要审计的类时，可以指定应在审计跟踪中记录该类中的所有事件。可以预选系统中的事件和特定用户启动的事件。运行审计服务之后，可以从预选类中动态添加或删除审计类。

• 系统范围预选－在 audit_control 文件的 flags、naflags 以及 plugin 行中指定系统范围内的缺省值以进行审计。audit_control 文件在audit_control 文件中介绍。另请参见 audit_control(4) 手册页。

• 用户特定预选－在 audit_user 数据库中针对个别用户指定除系统范围内的审计缺省值之外的其他值。

  审计预选掩码确定要针对用户审计的事件类。用户的审计预选掩码是系统范围内的缺省值和针对用户指定的审计类的组合。有关更多详细信息，请参见进程审计特征。

  audit_user 数据库可以从本地管理，也可以通过名称服务来管理。Solaris Management Console 可提供图形用户界面 (graphical user interface, GUI) 来管理此数据库。有关详细信息，请参见 audit_user(4) 手册页。

• 动态预选－将审计类指定为 auditconfig 命令的参数，以便从进程或会话中添加或删除这些审计类。有关更多信息，请参见 auditconfig(1M) 手册页。

可以使用后选命令 auditreduce 从预选审计记录中选择记录。有关更多信息，请参见检查审计跟踪和 auditreduce(1M) 手册页。

审计类在 /etc/security/audit_class 文件中定义。每个项都包含类的审计掩码、类的名称，以及类的描述性名称。例如，在 audit_class 文件中 ps 和 na 类的定义为：

0x00100000:ps:process start/stop

0x00000400:na:non-attribute

有 32 种可能的审计类。其中包括两个全局类：all 和 no。这些审计类将在 audit_class(4) 手册页中介绍。

可以配置审计事件到类的映射。可以从类中删除事件、向类中添加事件，以及创建新类以包含选定事件。有关过程，请参见如何更改审计事件的类成员关系。