監査とは、指定したイベントが発生したときに監査レコードを生成することです。ほとんどの場合、次のイベントで監査レコードが生成されます。
システムの起動とシャットダウン
ログインとログアウト
プロセスまたはスレッドの作成と破棄
オブジェクトを開く、閉じる、削除する、または名前を変更する
特権の使用、識別、および認証動作
プロセスまたはユーザーによる任意アクセス制御 (DAC)
インストール固有の管理動作
次の 3 つが監査レコードの生成元になります。
アプリケーション
非同期イベントの結果
プロセスのシステムコールの結果
関連するイベント情報が選択されると、その情報は監査レコードの書式に変換されます。監査レコードは、監査キューと呼ばれるカーネルバッファーに格納されます。カーネルの監査キューに一時的に保管された監査レコードは、監査ファイルに書き込まれます。監査ファイルの場所は、audit_control ファイルのエントリによって決定されます。監査ファイルの配置先として、同一マシン上の複数のパーティション、異なる複数のマシン上のパーティション、またはネットワークで接続されている複数のマシン上のパーティションを選択できます。接続された監査ファイルの集合は、監査トレールと呼ばれます。
監査レコードは、発生順に監査ファイルに蓄積されます。各監査レコードには、イベントを識別する情報、イベントの発生元、イベントの時刻、およびその他の関連情報が格納されます。