Les événements dans une classe d'audit peuvent être audités en cas de réussite, d'échec ou dans les deux cas.
Sans préfixe, l'audit d'une classe d'événements porte à la fois sur les réussites et les échecs.
Avec un signe plus (+) en préfixe, l'audit d'une classe d'événements porte uniquement sur les réussites.
Avec un signe moins (-) en préfixe, l'audit d'une classe d'événements porte uniquement sur les échecs.
Pour modifier une présélection actuelle, ajoutez un caret (^) précédant un préfixe ou un indicateur d'audit. Ainsi,
Si ot est présélectionné pour le système et que la présélection d'un utilisateur est ^ot, cet utilisateur n'est pas soumis à un audit pour les événements dans la classe other.
Si +ot est présélectionné pour le système et que la présélection d'un utilisateur est ^+ot, cet utilisateur n'est pas soumis à un audit pour les événements qui ont réussi dans la classe other.
Si -ot est présélectionné pour le système et que la présélection d'un utilisateur est ^-ot, cet utilisateur n'est pas soumis à un audit pour les événements qui ont échoué dans la classe other.
Pour consulter la syntaxe de présélection de classe d'audit, reportez-vous à la page de manuel audit_flags(5).
Les classes d'audit et leurs préfixes peuvent être spécifiés dans les commandes ci-après :
En tant qu'arguments des options de la commande auditconfig, –setflags et –setnaflags.
En tant que valeurs de l'attribut p_flags du plug-in audit_syslog. Vous spécifiez l'attribut en tant qu'option de la commande auditconfig -setplugin audit_syslog active.
En tant que valeurs de l'option –K audit_flags=always-audit-flags:never-audit-flags pour les commandes useradd, usermod, roleadd et rolemod.
En tant que valeurs des propriétés –always_audit et–never_audit de la commande profiles.