系统管理指南:安全性服务

审计类语法

可以只针对成功情况对事件进行审计,也可以只针对失败情况对事件进行审计,还可以同时针对两种情况对事件进行审计。如果不带前缀,则同时针对成功和失败情况对事件类进行审计。如果带有加号 (+) 前缀,则对事件类进行审计以仅查看是否成功。如果带有减号 (-) 前缀,则对事件类进行审计以仅查看是否失败。下表显示了某些可能的审计类表示。

表 30–2 审计类的加号和减号前缀

[prefix]class

说明 

lo

审计所有成功的登录和注销尝试,以及所有失败的登录尝试。用户不会遇到失败的注销尝试。 

+lo

审计所有成功的登录和注销尝试。 

-all

审计所有失败的事件。 

+all

审计所有成功的事件。 


注意 – 注意 –

all 类会生成大量数据并快速填满审计文件系统。仅当具有特殊的理由审计所有活动时,才使用 all 类。


先前选择的审计类可以通过插入记号前缀 ^ 进一步修改。下表显示了插入记号前缀如何修改预选的审计类。

表 30–3 用于修改已指定的审计类的插入记号前缀

^[prefix]class

说明 

-all,^-fc

审计所有失败的事件,但不审计失败的文件对象创建尝试 

am,^+aa

审计所有管理事件以查看成功和失败的情况,但不审计成功的审计管理尝试

am,^ua

审计所有管理事件以查看成功和失败的情况,但不审计用户管理事件 

可以在以下文件和命令中使用审计类及其前缀:

有关在 audit_control 文件中使用前缀的示例,请参见audit_control 文件