可以针对成功、失败或两者对审计类中的事件进行审计。
如果不带前缀,则同时针对成功和失败两种情况对事件类进行审计。
如果带有加号 (+) 前缀,则仅针对成功情况对事件类进行审计。
如果带有减号 (-) 前缀,则仅针对失败情况对事件类进行审计。
要修改当前预选,请在前缀或审计标志之前添加插入记号 (^)。例如:
如果为系统预选了 ot,而用户的预选为 ^ot,则不会针对 other 类中的事件审计该用户。
如果为系统预选了 +ot,而用户的预选为 ^+ot,则不会针对 other 类中的成功事件审计该用户。
如果为系统预选了 -ot,而用户的预选为 ^-ot,则不会针对 other 类中的失败事件审计该用户。
要查看审计类预选的语法,请参见 audit_flags(5) 手册页。
可以在以下命令中指定审计类及其前缀:
作为 auditconfig 命令选项 –setflags 和 –setnaflags 的参数。
作为 audit_syslog 插件的 p_flags 属性的值。您可以指定该属性作为 auditconfig -setplugin audit_syslog active 命令的一个选项。
作为 useradd、usermod、roleadd 和 rolemod 命令的 –K audit_flags=always-audit-flags:never-audit-flags 选项的值。
作为 profiles 命令的 –always_audit 和 –never_audit 属性的值。