审计标记格式

语言：

每个审计标记都有一个标记类型标识符，后跟标记的特定数据。下表显示了每个标记的标记名称以及简短说明。为了与先前的 Solaris 发行版兼容，将维护过时的标记。

表 7-1 用于审计的审计标记

标记名称	说明	详细信息
`acl`	访问控制条目 (Access Control Entry, ACE) 和访问控制列表 (Access Control List, ACL) 信息	acl 标记
`arbitrary`	具有格式和类型信息的数据	`audit.log`(4) 手册页
`argument`	系统调用参数值	argument 标记
`attribute`	文件 `vnode` 信息	attribute 标记
`cmd`	命令参数和环境变量	cmd 标记
`exec_args`	可执行的系统调用参数	exec_args 标记
`exec_env`	可执行的系统调用环境变量	exec_env 标记
`exit`	程序退出信息	`audit.log`(4) 手册页
`file`	审计文件信息	file 标记
`fmri`	框架管理资源指示器	fmri 标记
`group`	进程组信息	group 标记
`header`	表明审计记录开始	header 标记
`ip`	IP 数据包头信息	`audit.log`(4) 手册页
`ip address`	Internet 地址	ip address 标记
`ip port`	Internet 端口地址	ip port 标记
`ipc`	System V IPC 信息	ipc 标记
`IPC_perm`	System V IPC 对象访问信息	IPC_perm 标记
`opaque`	非结构化数据（未指定的格式）	`audit.log`(4) 手册页
`path`	路径信息	path 标记
`path_attr`	访问路径信息	path_attr 标记
`privilege`	特权集信息	privilege 标记
`process`	进程信息	process 标记
`return`	系统调用的状态	return 标记
`sequence`	序列号	sequence 标记
`socket`	套接字类型和地址	socket 标记
`subject`	主题信息（格式与 `process` 相同）	subject 标记
`text`	ASCII 字符串	text 标记
`trailer`	指示审计记录的结束	trailer 标记
`use of authorization`	授权使用情况	use of authorization 标记
`use of privilege`	特权使用情况	use of privilege 标记
`user`	用户 ID 和用户名	user 标记
`xclient`	X 客户机标识	xclient 标记
`zonename`	区域名称	zonename 标记
Trusted Extensions 标记	`label` 和 X 窗口系统信息	Trusted Extensions 配置和管理中的Trusted Extensions 审计参考

以下标记已过时：

liaison
host
tid

有关过时标记的信息，请参见包括标记的发行版参考资料。

审计记录总是以 header 标记开头，表明审计记录从审计迹的何处开始。对于可归属事件，subject 和 process 标记引用导致事件发生的进程的值。对于无归属事件，process 标记引用系统。