审计如何工作？

审计在指定事件发生时生成审计记录。通常，生成审计记录的事件包括：

• 启动系统和关闭系统

• 登录和注销

• 创建进程或损毁进程，或者创建线程或损毁线程

• 打开、关闭、创建、销毁或重命名对象

• 使用权限功能或基于角色的访问控制 (role-based access control, RBAC)

• 识别操作和验证操作

• 由进程或用户执行的权限更改

• 管理操作，例如安装软件包

• 特定于站点的应用程序

审计记录从以下三个源生成：

• 应用程序

• 异步事件的结果

• 进程系统调用的结果

一旦捕获相关的事件信息，便会将此信息格式化为审计记录。然后将此记录写入审计文件。完整的审计记录以二进制格式存储。对于 Solaris 10 发行版，也可使用 syslog 实用程序记录审计记录。

以二进制格式存储的审计文件可以存储在本地分区中，也可以存储在挂载了 NFS 的文件服务器中。存储位置可以是同一系统上的多个分区、不同系统上的分区，或者相互链接的不同网络中系统上的分区。相互链接的审计文件的集合称为审计跟踪。审计记录在审计文件中按时间顺序累积。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间，以及其他相关信息。

审计记录还可以使用 syslog 实用程序进行监视。这些审计日志可以在本地存储。或者，可以通过 UDP 协议将这些日志发送到远程系统。有关更多信息，请参见审计文件。