进程审计特征

以下审计特征在初始登录时设置：

• 进程预选掩码－来自 audit_control 文件和 audit_user 数据库的审计类的组合。当用户登录时，登录进程将合并预选类以便为用户进程建立进程预选掩码。进程预选掩码指定每个审计类中的事件是否生成审计记录。

  以下算法介绍了系统如何获取用户的进程预选掩码：

  (flags line + always-audit-classes) - never-audit-classes

  将来自 audit_control 文件中 flags 行的审计类与来自 audit_user 数据库内用户项的 always-audit-classes 字段中的类相加。然后，从总数中减去用户的 never-audit-classes 字段中的类。

• 审计 ID－当用户登录时，进程便会获取审计 ID。由用户初始进程启动的所有子进程都会继承审计 ID。审计 ID 有助于履行职责。即使在用户变为 root 之后，审计 ID 仍保持不变。保存在每条审计记录中的审计 ID 始终允许根据操作追溯到已登录的初始用户。

• 审计会话 ID－审计会话 ID 在登录时指定。此会话 ID 将由所有子进程继承。

• 终端 ID（端口 ID、计算机 ID）－终端 ID 包含主机名和 Internet 地址，后跟标识用户登录的物理设备的唯一数字。通常是通过控制台登录。对应于控制台设备的数字为 0。