close 系统调用的调用。ioctl 系统调用的使用。audit_class 和 audit_event 配置文件来定制。/etc/security 中可以找到以下用于安全事件审计的配置文件:audit_class :包含审计类的定义。audit_control :控制审计子系统的各个方面,例如默认审计类、审计日志卷上保留的最小磁盘空间以及最大审计跟踪大小。audit_event :系统审计事件的文本名称和描述以及每个事件所在类的列表。audit_user :用户特定的审计要求与登录时的全局默认值相结合。警告:应仔细编辑和维护审核配置文件,因为错误配置可能导致不正确的事件记录。
audit_control 和 audit_user 。第一个文件控制系统范围的审计属性和策略,第二个文件可用于用户的审计微调。audit_control 文件audit_control 中指定审计子系统的一些默认值:dir 条目用于设置将存储审计日志的一个或多个目录。如果出现多个目录条目,它们将在填充时按顺序使用。通常配置审计,以便审计日志存储在专用文件系统上,以防止在文件系统填满时审计子系统与其他子系统之间的干扰。dist 字段设置为 on 或 yes,将创建指向 /var/audit/dist 中所有跟踪文件的硬链接。flags 字段为归因事件设置系统范围的默认预选掩码。在上面的示例中,对所有用户的成功和失败登录/注销事件以及身份验证和授权进行审计。minfree 条目定义存储审计跟踪的文件系统的最小可用空间百分比。naflags 条目指定要针对非属性事件进行审计的审计类,例如登录/注销过程以及身份验证和授权。policy 条目指定一个以逗号分隔的策略标志列表,用于控制审计行为的各个方面。cnt 表示尽管审计失败,系统仍应继续运行(强烈建议使用此标志)。另一个标志 , argv 导致 execve(2) 系统调用的命令行参数作为命令执行的一部分被审计。filesz 条目指定在自动终止和轮换跟踪文件之前审计跟踪的最大大小。值 0 禁用自动日志轮换。如果请求的文件大小低于 512k 的最小值,它将被忽略并生成一条日志消息。expire-after 字段指定审核日志文件何时到期并被删除。audit_user 文件audit_user 中为特定用户指定进一步的审计要求。每行通过两个字段为用户配置审核:该 alwaysaudit 字段指定应始终为用户审核的 neveraudit 一组事件,该字段指定一组不应为用户审核的事件。root 以及文件创建和成功的命令执行 www。如果与默认的 audit_control 一起使用,则 lo 条目 root 是多余的,并且登录/注销事件也将被审计 www。