特権の使用は監査することができます。プロセスで特権が使用される場合は常に、upriv 監査トークン内の監査トレールに特権の使用が記録されます。特権の名前がレコードに含まれる場合、テキスト形式が使用されます。次の監査イベントにより、特権の使用が記録されます。
AUE_SETPPRIV 監査イベント – 特権セットが変更されたときに監査レコードを生成します。AUE_SETPPRIV 監査イベントは pm クラスにあります。
AUE_MODALLOCPRIV 監査イベント – カーネルの外部から特権が追加されたときに監査レコードを生成します。AUE_MODALLOCPRIV 監査イベントは ad クラスにあります。
AUE_MODDEVPLCY 監査イベント – デバイスポリシーが変更されたときに監査レコードを生成します。AUE_MODDEVPLCY 監査イベントは ad クラスにあります。
AUE_PFEXEC 監査イベント – pfexec() が有効になっている execve() の呼び出しが行われたときに監査レコードを生成します。AUE_PFEXEC 監査イベントは、as、ex、ps、および ua 監査クラスにあります。特権の名前は、監査レコードに含まれます。
基本セットに含まれる特権が正常に使用される場合は、監査されません。ユーザーの基本セットから削除された基本特権の使用を試みる場合、監査されます。