クラス定義の変更

ファイル /etc/security/audit_class には、クラス定義が格納されます。サイト固有の定義を追加して、デフォルトの定義を変更できます。このファイル内の各エントリの書式は次のとおりです。

mask:name:description

各クラスはマスク内の 1 ビットとして表されます。これは符号なしの整数で、32 種類の使用可能なクラスと、2 つのメタクラス all と no を示します。all は、使用可能なすべてのクラスを連結したものです。no は無効なクラスです。このクラスにマップされたイベントは監査されません。no クラスにのみマップされたイベントは、all クラスがオンになっていても監査されません。次は、audit_class ファイルの例です。

0x00000000:no:invalid class
0x00000001:fr:file read
0x00000002:fw:file write
0x00000004:fa:file attribute access
0x00000008:fm:file attribute modify
0x00000010:fc:file create
0x00000020:fd:file delete
0x00000040:cl:file close
0xffffffffff:all:all classes

システムカーネル内で no クラスがオンになっていると、監査トレールは監査イベント AUE_NULL のレコードでいっぱいになってしまいます。