監査レコード

各監査レコードには、監査された 1 つのイベントの発生が記述されます。誰がその動作を行ったか、どのファイルが影響を受けたか、どのような動作が試みられたか、いつ、どこでその動作が発生したかといった情報が含まれます。

監査イベントごとに保存される情報は、監査トークンのセットとして定義されます。 1 つのイベントに対して監査レコードが作成されるたびに、イベントの内容に従って、トークンの一部またはすべてがそのレコードに書き込まれます。 付録 A には、各イベントに定義された監査トークンと各トークンの意味がすべてリストされています。

監査レコードはトレール内に収集され (audit.log(4) のマニュアルページを参照)、praudit コマンドによってユーザが読める書式に変換できます(praudit(1M) のマニュアルページを参照)。詳細については、第 3 章「監査トレールの分析」を参照してください。