L'utilisation des privilèges peut être auditée. A chaque fois qu'un processus utilise un privilège, l'utilisation du privilège est enregistrée dans la piste d'audit du jeton d'audit upriv. Lorsque les noms de privilèges font partie de l'enregistrement, leur représentation textuelle est utilisée. Les événements d'audit suivants enregistrent l'utilisation de privilèges :
AUE_SETPPRIV (événement d'audit) : génère un enregistrement d'audit lorsqu'un jeu de privilèges est modifié. L'événement d'audit AUE_SETPPRIV se trouve dans la classe pm.
AUE_MODALLOCPRIV(événement d'audit) : génère un enregistrement d'audit lorsqu'un privilège est ajouté depuis l'extérieur du noyau. L'événement d'audit AUE_MODALLOCPRIV se trouve dans la classe ad.
AUE_MODDEVPLCY (événement d'audit) : génère un enregistrement d'audit lorsque la stratégie liée au périphérique est modifiée. L'événement d'audit AUE_MODDEVPLCY se trouve dans la classe ad.
AUE_PFEXEC (événement d'audit) : génère un enregistrement d'audit lorsqu'un appel est effectué à execve() avec pfexec() activé. L'événement d'audit AUE_PFEXEC se trouve dans les classes d'audit as, ex, ps et ua. Les noms des privilèges sont inclus dans l'enregistrement d'audit.
L'utilisation réussie de privilèges inclus dans le jeu de base n'est pas auditée. La tentative d'utilisation d'un privilège de base qui a été supprimé du jeu de base d'un utilisateur fait l'objet d'un audit.