审计标记格式
每个审计标记都有一个标记类型标识符,后跟标记的特定数据。下表显示了每个标记的标记名称以及简短说明。为了与先前的 Solaris 发行版兼容,将维护过时的标记。
表 7-1 用于审计的审计标记
|
|
|
acl
|
访问控制条目 (Access Control Entry, ACE) 和访问控制列表 (Access Control List, ACL) 信息
|
|
arbitrary
|
具有格式和类型信息的数据
|
|
argument
|
系统调用参数值
|
|
attribute
|
文件 vnode 信息
|
|
cmd
|
|
|
exec_args
|
可执行的系统调用参数
|
|
exec_env
|
可执行的系统调用环境变量
|
|
exit
|
程序退出信息
|
|
file
|
审计文件信息
|
|
fmri
|
框架管理资源指示器
|
|
group
|
进程组信息
|
|
header
|
表明审计记录开始
|
|
ip
|
IP 数据包头信息
|
|
ip address
|
Internet 地址
|
|
ip port
|
Internet 端口地址
|
|
ipc
|
System V IPC 信息
|
|
IPC_perm
|
System V IPC 对象访问信息
|
|
opaque
|
非结构化数据(未指定的格式)
|
|
path
|
路径信息
|
|
path_attr
|
访问路径信息
|
|
privilege
|
特权集信息
|
|
process
|
进程信息
|
|
return
|
系统调用的状态
|
|
sequence
|
序列号
|
|
socket
|
套接字类型和地址
|
|
subject
|
主题信息(格式与 process 相同)
|
|
text
|
ASCII 字符串
|
|
trailer
|
指示审计记录的结束
|
|
use of authorization
|
授权使用情况
|
|
use of privilege
|
特权使用情况
|
|
user
|
用户 ID 和用户名
|
|
xclient
|
X 客户机标识
|
|
zonename
|
区域名称
|
|
Trusted Extensions 标记
|
label 和 X 窗口系统信息
|
|
|
有关过时标记的信息,请参见包括标记的发行版参考资料。
审计记录总是以 header 标记开头,表明审计记录从审计迹的何处开始。对于可归属事件,subject 和 process 标记引用导致事件发生的进程的值。对于无归属事件,process 标记引用系统。