Сценарий: отслеживаем неудачные попытки открыть файл на чтения для процессов пользователя user1
По умолчанию настроена на протоколирование подключений под учетной записью root
# cat /etc/rc.conf
... auditd_enable="YES"
# /etc/rc.d/auditd start
# cat /etc/security/audit_control
... naflags:lo,aa,-fr ...
# cat /etc/security/audit_user
... user1:-fr:no
# /etc/rc.d/auditd restart
# fetch -qo - http://server.corpX.un/../../etc/passwd # fetch -qo - http://server.corpX.un/../../etc/master.passwd
# ls -l /var/audit/ # praudit /var/audit/current # praudit /var/audit/current | grep -B 2 -A 2 user1 | less