audit_flags - 監査の事前選択フラグ
監査フラグは、プロセスで監査される監査クラスを指定します。監査クラスは audit_class(5) ファイルで定義され、audit_event(5) ファイルで定義されたとおりに監査イベントなどをグループ化します。デフォルトの Solaris システム全体の監査フラグは、auditconfig(8) を使用して、監査サービスの一部として構成されます。追加のユーザーごとの監査フラグまたは役割ごとの監査フラグが、user_attr(5) データベース内または audit_flags=always-audit-flags:never-audit-flags キーワードでユーザーに付与されたプロファイル内に構成されている場合があります。プロセスの監査フラグは事前選択マスクと呼ばれています。デフォルトの Solaris システム全体の監査フラグとユーザーごとの監査フラグ(デフォルトのフラグ + always-audit-flags) - never-audit-flags を組み合わせると、事前選択マスクがログイン時および役割の引き受け時に設定されます。
監査フラグは、監査対象の監査クラス名を表す文字列として指定されます。各フラグは監査クラスを識別し、文字列内のほかの文字とコンマ (,) で区切られます。監査クラス名の前に - が付いている場合は、失敗したクラスのみが監査対象となり、成功した試行は監査されません。監査クラス名の前に + が付いている場合は、成功したクラスのみが監査対象となり、失敗した試行は監査されません。プレフィックスが付いていない監査クラス名は、成功と失敗の両方のクラスが監査対象となることを示します。特殊な文字列 “all” を指定すると、すべての監査イベントが監査対象となります。-all を指定すると、失敗したすべての試行が監査対象となり、+all を指定すると、成功したすべての試行が監査対象となります。The prefixes ^, ^- and ^+ turn off flags specified earlier in the string (^- and ^+ for failed and successful attempts respectively, ^ for both).通常は、フラグをリセットするために使用します。The special string no indicates no audit events are to be audited.
lo,am,-all,^-fm使用例 2 成功および失敗した「lo」 (ログイン/ログアウト)、「as」 (システム全体の管理)、および失敗した「fm」 (ファイル属性の変更) イベントを監査する場合に事前選択します。
lo,as,-fm
profiles(1), audit_class(5), audit_event(5), prof_attr(5), user_attr(5), auditconfig(8), auditd(8), usermod(8)