下表显示了每个预定义的审计类、每个审计类的说明性名称,以及简短说明。
表 30–1 预定义的审计类
审计类 |
说明性名称 |
说明 |
---|---|---|
all |
所有类(元类) |
|
no | ||
na |
不可归属事件 |
|
fr |
读取数据,打开进行读取 |
|
fw |
写入数据,打开进行写入 |
|
fa |
访问对象属性:stat、pathconf |
|
fm |
更改对象属性:chown、flock |
|
fc |
创建对象 |
|
fd |
删除对象 |
|
cl | ||
ap |
应用程序定义的事件 |
|
ad |
管理操作(旧的管理元类) |
|
am |
管理操作(元类) |
|
ss |
更改系统状态 |
|
as |
系统范围的管理 |
|
ua |
用户管理 |
|
aa |
利用审计 |
|
ps |
启动和停止进程 |
|
pm |
修改进程 |
|
pc |
进程(元类) |
|
ex |
执行程序 |
|
io | ||
ip | ||
lo |
登录和注销事件 |
|
nt |
网络事件:bind、connect、 accept |
|
ot |
杂项,例如设备分配和 memcntl() |
可以通过修改 /etc/security/audit_class 文件来定义新类,还可以重命名现有类。有关更多信息,请参见 audit_class(4) 手册页。