บันทึกเหตุการณ์เริ่ม/หยุดจากระบบการตรวจสอบ

ใน /etc/security/audit/events คุณมี:

* audit()
    AUD_It = printf "cmd: %d arg: %d"

ใน /etc/security/audit/config เพิ่ม:

...
classes:
    others = AUD_It
...
users:
    root = others
    user = others
...

เมื่อคุณรันคำสั่ง:

# audit start
# audit query
# audit shutdown

แล้วคุณจะได้เห็น:

# tail -f stream.out

event           login    status      time                     command                         wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It          user     OK          Mon Aug 19 13:47:04 2013 audit
       cmd: 1 arg: 0
AUD_It          user     OK          Mon Aug 19 13:47:19 2013 audit
       cmd: 2 arg: 0
AUD_It          user     OK          Mon Aug 19 13:47:25 2013 audit
       cmd: 4 arg: 0

โดยที่ค่า cmd:

• คำสั่งเริ่มต้นการตรวจสอบเพื่อเปิดใช้งานระบบย่อยการตรวจสอบ สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 1

• คำสั่งแบบสอบถามการตรวจสอบเพื่อดูว่าเหตุการณ์และวัตถุใดได้รับการตรวจสอบ สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 2

• คำสั่งปิดการตรวจสอบเพื่อปิดใช้งานระบบย่อยการตรวจสอบอีกครั้ง สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 4

(http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=/com.ibm.aix.security/doc/security/setting_up_auditing.htm)