可以只针对成功情况对事件进行审计,也可以只针对失败情况对事件进行审计,还可以同时针对两种情况对事件进行审计。如果不带前缀,则同时针对成功和失败情况对事件类进行审计。如果带有加号 (+) 前缀,则对事件类进行审计以仅查看是否成功。如果带有减号 (-) 前缀,则对事件类进行审计以仅查看是否失败。下表显示了某些可能的审计类表示。
表 30–2 审计类的加号和减号前缀
[prefix]class |
说明 |
---|---|
lo |
审计所有成功的登录和注销尝试,以及所有失败的登录尝试。用户不会遇到失败的注销尝试。 |
+lo |
审计所有成功的登录和注销尝试。 |
-all |
审计所有失败的事件。 |
+all |
审计所有成功的事件。 |
all 类会生成大量数据并快速填满审计文件系统。仅当具有特殊的理由审计所有活动时,才使用 all 类。
先前选择的审计类可以通过插入记号前缀 ^ 进一步修改。下表显示了插入记号前缀如何修改预选的审计类。
表 30–3 用于修改已指定的审计类的插入记号前缀
^[prefix]class |
说明 |
---|---|
-all,^-fc |
审计所有失败的事件,但不审计失败的文件对象创建尝试 |
am,^+aa | |
am,^ua |
审计所有管理事件以查看成功和失败的情况,但不审计用户管理事件 |
可以在以下文件和命令中使用审计类及其前缀:
在 audit_control 文件的 flags 行中
在 audit_control 文件的 plugin ...p_flags= 行中
在 audit_user 数据库的用户项中
作为 auditconfig 参数选项的参数
有关在 audit_control 文件中使用前缀的示例,请参见audit_control 文件。