監査とは、セキュリティに関連するシステムイベントを記録したデータを収集することです。このデータは、ホストで発生する動作の責任の割り当てに使用できます。監査を正常に機能させるには、識別と認証という 2 つのセキュリティ機能が重要です。 ログイン時にユーザーがユーザー名とパスワードを与えると、一意の監査 ID がそのユーザーのプロセスに関連付けられます。監査 ID は、ログインセッション中に起動されるすべてのプロセスに継承されます。ユーザーが ID を変更しても (su(1M) のマニュアルページを参照)、 実行するすべての動作は同じ監査 ID によって追跡されます。
監査によって、次の操作が可能になります。
ホスト上で発生するセキュリティに関係するイベントの監視
ネットワーク全体の監査トレールにイベントを記録
誤った使用または権限のない動作の検出
アクセスパターンの確認と、ユーザーおよびオブジェクトのアクセス履歴の調査
保護メカニズムを迂回しようとする操作の検出
ユーザーが ID を変更するときに発生する特権の拡大使用の検出
システムの構成時にどの動作を監視するかを選択します。各ユーザーに行う監査の程度は、細かく調整することもできます。
監査データを収集したあと、監査ファイル縮小ツールと変換ツールによって監査トレールの注目すべき部分を調査できます。たとえば、個別のユーザーまたはグループの監査レコードを調べるか、特定の日に発生した特定の種類のイベントレコードをすべて調べるか、または特定の日時に発生したレコードだけを取り出すかを選択できます。