审计在指定事件发生时生成审计记录。通常,生成审计记录的事件包括:
启动系统和关闭系统
登录和注销
创建进程或损毁进程,或者创建线程或损毁线程
打开、关闭、创建、销毁或重命名对象
使用权限功能或基于角色的访问控制 (role-based access control, RBAC)
识别操作和验证操作
由进程或用户执行的权限更改
管理操作,例如安装软件包
特定于站点的应用程序
审计记录从以下三个源生成:
应用程序
异步事件的结果
进程系统调用的结果
一旦捕获相关的事件信息,便会将此信息格式化为审计记录。然后将此记录写入审计文件。完整的审计记录以二进制格式存储。对于 Solaris 10 发行版,也可使用 syslog 实用程序记录审计记录。
以二进制格式存储的审计文件可以存储在本地分区中,也可以存储在挂载了 NFS 的文件服务器中。存储位置可以是同一系统上的多个分区、不同系统上的分区,或者相互链接的不同网络中系统上的分区。相互链接的审计文件的集合称为审计跟踪。审计记录在审计文件中按时间顺序累积。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间,以及其他相关信息。
审计记录还可以使用 syslog 实用程序进行监视。这些审计日志可以在本地存储。或者,可以通过 UDP 协议将这些日志发送到远程系统。有关更多信息,请参见审计文件。