El uso de privilegios se puede auditar. Cada vez que un proceso utiliza un privilegio, el uso del privilegio se registra en la pista de auditoría, en el token de auditoría upriv. Cuando los nombres de privilegios forman parte del registro, se utiliza su representación textual. Los siguientes eventos de auditoría registran el uso del privilegio:
Evento de auditoría AUE_SETPPRIV: Genera un registro de auditoría cuando se modifica un conjunto de privilegios. El evento de auditoría AUE_SETPPRIV está en la clase pm.
Evento de auditoría AUE_MODALLOCPRIV: Genera un registro de auditoría cuando se agrega un privilegio desde afuera del núcleo. El evento de auditoría AUE_MODALLOCPRIV está en la clase ad.
Evento de auditoría AUE_MODDEVPLCY: Genera un registro de auditoría cuando se modifica la política de dispositivos. El evento de auditoría AUE_MODDEVPLCY está en la clase ad.
AUE_PFEXEC Evento de auditoría: genera un registro de auditoría cuando se realiza una llamada a execve() con pfexec() activada. El evento de auditoría AUE_PFEXEC está en las clases de auditoría as, ex, ps y ua. Los nombres de los privilegios se incluyen en el registro de auditoría.
El uso correcto de privilegios que se encuentran en el conjunto básico no se audita. Un intento de utilizar un privilegio básico que se eliminó del conjunto básico de un usuario se audita.