監査フラグは、プロセスで監査される監査クラスを指定します。監査クラスは audit_class(4) ファイルで定義され、audit_event(4) ファイルで定義されたとおりに監査イベントなどをグループ化します。auditconfig(1M) を使用すると、デフォルトの Solaris システム全体の監査フラグが監査サービスの一部として構成されます。追加のユーザーごとの監査フラグまたは役割ごとの監査フラグが、user_attr (4) データベース内または audit_flags=always-audit-flags:never-audit-flags キーワードでユーザーに付与されたプロファイル内に構成されている場合があります。プロセスの監査フラグは事前選択マスクと呼ばれています。デフォルトの Solaris システム全体の監査フラグとユーザーごとの監査フラグ(デフォルトのフラグ + always-audit-flags) - never-audit-flags を組み合わせると、事前選択マスクがログイン時および役割の引き受け時に設定されます。
監査フラグは、監査対象の監査クラス名を表す文字列として指定されます。各フラグは監査クラスを識別し、文字列内のほかの文字とコンマ (,) で区切られます。監査クラス名の前に - が付いている場合は、失敗したクラスのみが監査対象となり、成功した試行は監査されません。監査クラス名の前に + が付いている場合は、成功したクラスのみが監査対象となり、失敗した試行は監査されません。プレフィックスが付いていない監査クラス名は、成功と失敗の両方のクラスが監査対象となることを示します。特殊な文字列 “all” を指定すると、すべての監査イベントが監査対象となります。-all を指定すると、失敗したすべての試行が監査対象となり、+all を指定すると、成功したすべての試行が監査対象となります。プレフィックス ^、^-、および ^+ は、以前に文字列に指定されたフラグを無効にします (^- は失敗の試行、^+ 成功の試行、^ は両方の試行に指定されます)。通常は、フラグをリセットするために使用します。特殊な文字列 no を指定すると、監査イベントは監査されません。
lo,am,-all,^-fm使用例 2 成功および失敗した「lo」 (ログイン/ログアウト)、「as」 (システム全体の管理)、および失敗した「fm」 (ファイル属性の変更) イベントを監査する場合に事前選択します。
lo,as,-fm
profiles(1), auditconfig(1M) , auditd(1M), usermod(1M) , audit_class(4), audit_event (4), prof_attr(4), user_attr(4)