审计类

审计类	描述性名称	说明
`all`	`all`	所有类（元类）
`no`	`no_class`	用于关闭事件预选的空值
`na`	`non_attrib`	无归属事件
`fr`	`file_read`	读取数据，打开进行读取
`fw`	`file_write`	写入数据，打开进行写入
`fa`	`file_attr_acc`	访问对象属性：`stat`、`pathconf`
`fm`	`file_attr_mod`	更改对象属性：`chown`、`flock`
`fc`	`file_creation`	创建对象
`fd`	`file_deletion`	删除对象
`cl`	`file_close`	`close` 系统调用
`ap`	`application`	应用程序定义的事件
`ad`	`administrative`	管理操作（旧的管理元类）
`am`	`administrative`	管理操作（元类）
`ss`	`system state`	更改系统状态
`as`	`system-wide administration`	系统范围的管理
`ua`	`user administration`	用户管理
`aa`	`audit administration`	利用审计
`ps`	`process start`	启动和停止进程
`pm`	`process modify`	修改进程
`pc`	`process`	进程（元类）
`ex`	`exec`	执行程序
`io`	`ioctl`	`ioctl()` 系统调用
`ip`	`ipc`	系统 V IPC 操作
`lo`	`login_logout`	登录和注销事件
`nt`	`network`	网络事件：`bind`、`connect`、`accept`
`ot`	`other`	杂项，例如设备分配和 `memcntl()`

可以通过修改 /etc/security/audit_class 文件来定义新类，也可以重命名现有类。有关更多信息，请参见audit_class(4)手册页。

审计类语法

可以只针对成功情况对事件进行审计，也可以只针对失败情况对事件进行审计，还可以同时针对两种情况对事件进行审计。如果不带前缀，则同时针对成功和失败两种情况对事件类进行审计。如果带有加号 (+) 前缀，则仅针对成功情况对事件类进行审计。如果带有减号 (-) 前缀，则仅针对失败情况对事件类进行审计。下表显示了某些可能的审计类表示法。

表 31-2 审计类的加号和减号前缀

`[prefix]` `class`	说明
`lo`	审计所有成功的登录和注销尝试，以及所有失败的登录尝试。用户不会遇到失败的注销尝试。
`+lo`	审计所有成功的登录和注销尝试。
`-all`	审计所有失败的事件。
`+all`	审计所有成功的事件。

注意 - all 类会生成大量数据并快速填满审计文件系统。仅当有特殊理由需审计所有活动时，才使用 all 类。

先前选择的审计类可以通过插入记号前缀 ^ 进一步修改。下表显示了插入记号前缀如何修改预选的审计类。

表 31-3 用于修改已指定的审计类的插入记号前缀

`^`[`prefix`]`class`	说明
`-all,^-fc`	审计所有失败的事件，但不审计失败的文件对象创建尝试
`am,^+aa`	审计所有成功和失败的管理事件，但不审计成功的管理审计尝试
`am,^ua`	审计所有成功和失败的管理事件，但不审计用户管理事件

可以在以下文件和命令中使用审计类及其前缀：

在 audit_control 文件的 flags 行中
在 audit_control 文件的 plugin:name=audit_syslog.so; p_flags= 行中
在 audit_user 数据库的用户项中
作为 auditconfig 命令选项的参数。

有关在 audit_control 文件中使用前缀的示例，请参见audit_control 文件。

跳过导航链接
退出打印视图
	系统管理指南：安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文)