系统管理指南:安全性服务

审计类的定义

下表显示了每个预定义的审计类、每个审计类的说明性名称,以及简短说明。

表 30–1 预定义的审计类

审计类 

说明性名称 

说明 

all

all

所有类(元类) 

no

no_class

用于关闭事件预选的空值

na

non_attrib

不可归属事件 

fr

file_read

读取数据,打开进行读取 

fw

file_write

写入数据,打开进行写入 

fa

file_attr_acc

访问对象属性:statpathconf

fm

file_attr_mod

更改对象属性:chownflock

fc

file_creation

创建对象 

fd

file_deletion

删除对象 

cl

file_close

close 系统调用

ap

application

应用程序定义的事件 

ad

administrative

管理操作(旧的管理元类) 

am

administrative

管理操作(元类) 

ss

system state

更改系统状态 

as

system-wide administration

系统范围的管理 

ua

user administration

用户管理 

aa

audit administration

利用审计 

ps

process start

启动和停止进程 

pm

process modify

修改进程 

pc

process

进程(元类) 

ex

exec

执行程序 

io

ioctl

ioctl() 系统调用

ip

ipc

系统 V IPC 操作

lo

login_logout

登录和注销事件 

nt

network

网络事件:bindconnect accept

ot

other

杂项,例如设备分配和 memcntl()

可以通过修改 /etc/security/audit_class 文件来定义新类,还可以重命名现有类。有关更多信息,请参见 audit_class(4) 手册页。