最初のログイン時に次の監査特性が設定されます。
プロセス事前選択マスク – ユーザーの監査マスクが指定されている場合、システム全体の監査マスクとユーザー固有の監査マスクの組み合わせ。ユーザーがログインすると、ログインプロセスは、事前に選択されたクラスを結合し、そのユーザーのプロセスに対する「プロセス事前選択マスク」を確立します。プロセス事前選択マスクは、監査レコードを生成するイベントを指定します。
さらに、audit_flags(5) のマニュアルページで説明されているように、事前選択では、成功したイベントのみの監査、失敗したイベントのみの監査、またはすべてのイベントの監査を指定できます。
ユーザーのプロセス事前選択マスクを取得する方法は、次のアルゴリズムで表されます。
(system-wide default flags + always-audit-classes) - never-audit-classes
auditconfig -getflags コマンドの結果から得られたシステム全体の監査クラスを、ユーザーの always_audit キーワードの always-audit-classes 値にあるクラスに加えます。次に、この合計から、ユーザーの never-audit-classes にあるクラスを引きます。audit_flags(5) のマニュアルページも参照してください。
監査ユーザー ID – ユーザーがログインすると、プロセスは、変更不可能な監査ユーザー ID を取得します。この ID は、そのユーザーの初期プロセスで起動されたすべての子プロセスによって継承されます。監査ユーザー ID は、説明責任を実施するのに役立ちます。ユーザーが役割を引き受けたあとも、監査ユーザー ID は同じままになります。各監査レコード内に保存されている監査ユーザー ID を使用すると、常に元のログインユーザーまでアクションを追跡できます。
監査セッション ID – 監査セッション ID は、ログイン時に割り当てられます。この ID は、すべての子プロセスによって継承されます。
端末 ID – ローカルログインの場合、端末 ID は、ローカルシステムの IP アドレスと、そのあとに続く、ユーザーがログインした物理デバイスを識別するデバイス番号で構成されます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0,0 です。リモートログインの場合、端末 ID は、リモートシステムの IP アドレスと、そのあとに続くリモートポート番号およびローカルポート番号で構成されます。