审计标志指定将审计进程的哪些审计类。审计类在 audit_class(4) 文件中定义,并像 audit_event(4) 文件中定义的审计事件一样组合在一起。缺省的 Solaris 系统范围的审计标志使用 auditconfig(1M) 配置为审计服务的一部分。其他每用户或每角色审计标志可在 user_attr(4) 数据库中进行配置,或在通过 audit_flags=always-audit-flags:never-audit-flags 关键字授予用户的配置文件中进行配置。进程的审计标志称为预选掩码。预选掩码在进行登录和角色承担时设置,方法是将缺省的 Solaris 系统范围的审计标志和每用户审计标志(缺省标志 + always-audit-flags)- never-audit-flags 组合在一起。
审计标志指定为表示要审计的审计类名的字符串。每个标志标识一个审计类,用逗号 (,) 与字符串中的其他审计类隔开。以 - 开头的审计类名意味着只审计该类的失败尝试;不审计成功尝试。以 + 开头的审计类名称意味着只审计该类的成功尝试;不审计失败尝试。如果没有前缀,审计类名指示审计该类的成功和失败尝试。特殊字符串 “all” 指示将审计所有审计事件;-all 指示将审计所有失败尝试,+all 指示将审计所有成功尝试。前缀 ^、^- 和 ^+ 会禁用之前在字符串中指定的标志(^- 和 ^+ 分别对应失败和成功尝试,^ 对应两者)。这些前缀通常用于重置标志。特殊字符串 no 指示将不审计任何审计事件。
lo,am,-all,^-fm示例 2 通过预选可审计成功和失败的 "lo"(登录/注销)、"as"(系统范围管理)和失败的 "fm"(文件属性修改)事件。
lo,as,-fm
profiles(1)、auditconfig(1M)、auditd(1M)、usermod(1M)、audit_class(4)、audit_event(4)、prof_attr(4)、user_attr(4)