审计记录和审计标记

每条审计记录记录一个审计事件的发生。此记录包含操作执行者、受影响的文件、已尝试执行的操作以及操作发生的时间和位置等信息。以下示例给出了一条 login 审计记录：

header,81,2,login - local,,2003-10-13 11:23:31.050 -07:00

subject,root,root,other,root,other,378,378,0 0 example_system

text,successful login

return,success,0

为每个审计事件保存的信息类型由一组审计标记进行定义。每次为事件创建审计记录时，记录中都会包含为事件定义的部分或全部标记。事件的性质确定要记录的标记。在前面的示例中，每行都以审计标记的名称开头。名称后跟审计标记的内容。login 审计记录共由四种审计标记组成。

有关每个审计标记结构的详细说明和 praudit 输出示例，请参见审计标记格式。有关审计标记的二进制流的说明，请参见 audit.log(4) 手册页。