監査レコード

監査レコード 1 件には、監査イベント 1 件の発生が記録されています。ここには、アクションを実行したユーザー、それによって影響を受けたファイル、試みられたアクションの種類、発生場所や日時などの情報が含まれています。

各監査イベントについて記録される情報の種類は、監査トークンのセットで定義されます。あるイベントに対する監査レコードが作成されるたびに、レコードには、定義されているトークンの一部または全部が書き込まれます。この内容は、イベントの性質と監査ポリシーによって決まります。付録 B 「監査レコードの詳細」では、イベントごとに定義されるすべての監査トークンとそれぞれのトークンの意味を示します。

複数の監査トークンによって 1 つの監査レコードが構成され、この監査レコードが複数集まって、1 つの監査ファイルが構成されます。監査トレールとは、分散システムにある 1 つ以上の監査ファイルのことです。監査トレールの構造を 図 1-1 に示します。この監査トレールは、praudit でユーザーが読める形式に変換できます (praudit(1M) のマニュアルページを参照)。 auditreduce(1M) を使うと、特定の監査レコードを目的にあわせて選択することができます。詳細は第 3 章「監査トレールの管理と監査結果の分析」を参照してください。

図 1-1 監査トークンから監査トレールまで