'\" te
.\" Copyright (c) 2010, 2012, Oracle and/or its affiliates.All rights reserved.
.TH audit_flags 5 "2012 年 1 月 5 日" "SunOS 5.11" "标准、环境和宏"
.SH 名称
audit_flags \- 审计预选标志
.SH 描述
.sp
.LP
审计标志指定将审计进程的哪些审计类。审计类在 \fBaudit_class\fR(4) 文件中定义，并像 \fBaudit_event\fR(4) 文件中定义的审计事件一样组合在一起。缺省的 Solaris 系统范围的审计标志使用 \fBauditconfig\fR(1M) 配置为审计服务的一部分。其他每用户或每角色审计标志可在 \fBuser_attr\fR(4) 数据库中进行配置，或在通过 \fIaudit_flags\fR=\fIalways-audit-flags\fR:\fInever-audit-flags\fR 关键字授予用户的配置文件中进行配置。进程的审计标志称为预选掩码。预选掩码在进行登录和角色承担时设置，方法是将缺省的 Solaris 系统范围的审计标志和每用户审计标志（缺省标志 \fB+\fR \fIalways-audit-flags\fR）\fB-\fR \fInever-audit-flags\fR 组合在一起。
.sp
.LP
审计标志指定为表示要审计的审计类名的字符串。每个标志标识一个审计类，用逗号 (\fB,\fR) 与字符串中的其他审计类隔开。以 \fB-\fR 开头的审计类名意味着只审计该类的失败尝试；不审计成功尝试。以 \fB+\fR 开头的审计类名称意味着只审计该类的成功尝试；不审计失败尝试。如果没有前缀，审计类名指示审计该类的成功和失败尝试。特殊字符串 “all” 指示将审计所有审计事件；\fB-all\fR 指示将审计所有失败尝试，\fB+all\fR 指示将审计所有成功尝试。前缀 \fB^\fR、\fB^-\fR 和 \fB^+\fR 会禁用之前在字符串中指定的标志（\fB^-\fR 和 \fB^+\fR 分别对应失败和成功尝试，\fB^\fR 对应两者）。这些前缀通常用于重置标志。特殊字符串 \fBno\fR 指示将不审计任何审计事件。
.SH 示例
.LP
\fB示例 1 \fR通过预选可审计成功和失败的 "lo"（登录/注销）、"am"（管理）审计事件以及除失败的 "fm"（文件属性修改）事件之外的所有失败的审计事件。
.sp
.in +2
.nf
lo,am,-all,^-fm
.fi
.in -2
.sp

.LP
\fB示例 2 \fR通过预选可审计成功和失败的 "lo"（登录/注销）、"as"（系统范围管理）和失败的 "fm"（文件属性修改）事件。
.sp
.in +2
.nf
lo,as,-fm
.fi
.in -2
.sp

.SH 另请参见
.sp
.LP
\fBprofiles\fR(1)、\fBauditconfig\fR(1M)、\fBauditd\fR(1M)、\fBusermod\fR(1M)、\fBaudit_class\fR(4)、\fBaudit_event\fR(4)、\fBprof_attr\fR(4)、\fBuser_attr\fR(4)
.sp
.LP
\fI《Managing Auditing in Oracle Solaris 11.3》\fR