Los eventos en una clase de auditoría se pueden auditar para determinar si la clase es correcta, si tiene fallos o ambas cosas.
Sin un prefijo, una clase de eventos se audita para determinar si es correcta o si falló.
Con un prefijo de signo más (+), se audita una clase de eventos únicamente para determinar si son correctos.
Con un prefijo de signo menos (-), se audita una clase de los eventos únicamente para determinar si tienen fallos.
Para modificar una preselección actual, agregue un signo de intercalación (^) antes de un prefijo o un indicador de auditoría. Por ejemplo:
Si ot está preseleccionado para el sistema, y la preselección de un usuario es ^ot, dicho usuario no se audita para eventos en la clase other.
Si +ot está preseleccionado para el sistema, y la preselección de un usuario es ^+ot, dicho usuario no se audita para eventos correctos en la clase other.
Si -ot está preseleccionado para el sistema, y la preselección de un usuario es ^-ot, dicho usuario no se audita para eventos con fallos en la clase other.
Para revisar la sintaxis de la preselección de clases de auditoría, consulte la página del comando man audit_flags(5).
Las clases de auditoría y sus prefijos se pueden especificar en los siguientes comandos:
Como argumentos para las opciones del comando auditconfig –setflags y –setnaflags.
Como valores del atributo p_flags para el complemento audit_syslog. Especifica el atributo como una opción para el comando auditconfig -setplugin audit_syslog active.
Como valores para la opción –K audit_flags=always-audit-flags:never-audit-flags para los comandos useradd, usermod, roleadd y rolemod.
Como valores para las propiedades –always_audit y –never_audit del comando profiles.