可以对特权的使用进行审计。只要进程使用特权,就会在 upriv 审计标记的审计迹中记录该特权的使用。如果记录中包含特权名称,则将使用特权名称的文本表示形式。以下审计事件记录特权的使用:
AUE_SETPPRIV 审计事件-更改了特权集合时,生成一条审计记录。AUE_SETPPRIV 审计事件在 pm 类中。
AUE_MODALLOCPRIV 审计事件-从内核外部添加了特权时,生成一条审计记录。AUE_MODALLOCPRIV 审计事件在 ad 类中。
AUE_MODDEVPLCY 审计事件-更改了设备策略时,生成一条审计记录。AUE_MODDEVPLCY 审计事件在 ad 类中。
AUE_PFEXEC 审计事件-如果在启用 pfexec() 时调用了 execve(),生成一条审计记录。AUE_PFEXEC 审计事件在 as、ex、ps 和 ua 审计类中。特权的名称包含在审计记录中。
不会审计基本特权集合中特权的成功使用。但是如果尝试使用已从用户基本特权集合中删除的基本特权,将会生成审计记录。