以下审计特征在初始登录时设置:
进程预选掩码-系统范围审计掩码和用户特定审计掩码的组合(如果指定了用户审计掩码)。用户登录时,登录过程将合并预选类,以便为用户进程建立进程预选掩码。进程预选掩码指定生成审计记录的事件。
以下算法介绍了系统如何获取用户的进程预选掩码:
(system-wide default flags + always-audit-classes) - never-audit-classes
将 auditconfig -getflags 命令结果中的系统范围审计类添加到用户的 always_audit 关键字值 always-audit-classes 中的类。然后,从总数中减去用户的 never-audit-classes 中的类。另请参见 audit_flags(5) 手册页。
审计用户 ID-用户登录时,进程便会获取不变的审计用户 ID。由用户初始进程启动的所有子进程都会继承此 ID。审计用户 ID 有助于履行职责。即使在用户承担角色后,审计用户 ID 仍保持不变。保存在每个审计记录中的审计用户 ID 使您能够始终跟踪追溯到登录用户的操作。
终端 ID-对于本地登录,终端 ID 包含本地系统的 IP 地址,后跟标识用户登录的物理设备的唯一数字。通常是通过控制台登录。对应于控制台设备的编号为 0,0。对于远程登录,终端 ID 包含远程主机的 IP 地址,后跟远程端口号和本地端口号。