監査では、指定したイベントが発生したときに監査レコードが生成されます。通常、次のイベントが発生すると監査レコードが生成されます。
システムの起動とシャットダウン
ログインとログアウト
プロセスまたはスレッドの作成と破棄
オブジェクトを開く、閉じる、削除する、または名前を変更する
特権機能または役割に基づくアクセス制御 (RBAC) の使用
識別動作と認証動作
プロセスまたはユーザーによるアクセス権の変更
パッケージのインストールなどの管理動作
サイト固有のアプリケーション
次の 3 つが監査レコードの生成元になります。
アプリケーション
非同期監査イベントの結果
プロセスのシステムコールの結果
関連するイベント情報が取得されると、その情報は監査レコードの書式に変換されます。次に、レコードは監査ファイルに書き込まれます。完全な監査レコードがバイナリ形式で格納されます。Solaris 10 リリースでは、syslog ユーティリティーを使用して、監査レコードを記録することもできます。
バイナリ形式の監査ファイルは、ローカルファイルシステムに格納できます。ファイルは、NFS がマウントされたファイルサーバーにも格納できます。監査ファイルの配置先として、同一システム上の複数のパーティション、異なる複数のシステム上のパーティション、または異なるが接続されているネットワーク上の複数のシステム上のパーティションを選択できます。接続された監査ファイルの集合は、監査トレールと呼ばれます。監査レコードは、発生順に監査ファイルに蓄積されます。各監査レコードには、イベントを識別する情報、イベントの発生元、イベントの時刻、およびその他の関連情報が格納されます。
監査レコードは、syslog ユーティリティーを使用して監視することもできます。これらの監査ログはローカルに格納することができます。あるいは、ログは、UDP プロトコルを使用して遠隔システムに送信することもできます。詳細は、「監査ログ」を参照してください。