个人对审计系统的理解，以及谁能介绍一下event?

monthandday

最近开始研究审计子系统。
   审计的过程是，在/etc/security/event里选择需要的事件，然后在同目录下的config文件里，用选好的事件定义自己的审计类，然后将审计类与用户关联起来，当用户的行为符合审计类设定的时候就发生记录。
   个人理解，抛块砖，大家讨论。
   
   自己定义了一个access类
#######################
class:
     access=USER_Login,
                    USER_Logout,
                    USER_Exit,
                    USER_SU,
                    USER_Shell

user:
       root=access
#######################

不知是不是包含了所有可能的登录信息，是否还需要添加PORT_Locked 和 TERM_Logout

另：那位能详解一下event中的内容，不知道那些事件都是干嘛用的阿。感激不尽。

[ 本帖最后由 monthandday 于 2006-11-14 10:29 编辑 ]