审计工作原理

审计在发生指定的事件时生成审计记录。通常情况下，生成审计记录的事件包括：

• 系统启动和系统关闭

• 登录和注销

• 进程创建或进程销毁，或线程创建或线程销毁

• 打开、关闭、创建、销毁或重命名对象

• 使用特权功能或基于角色的访问控制 (role-based access control, RBAC)

• 识别操作和验证操作

• 由进程或用户执行的权限更改

• 管理操作，例如安装软件包

• 特定于站点的应用程序

审计记录从以下三个源生成：

• 应用程序

• asynchronous audit event（异步审计事件）的结果

• 进程系统调用的结果

捕获相关的事件信息后，会将这些信息格式化为审计记录。然后将此记录写入审计文件。完整的审计记录以二进制格式存储。对于 Solaris 10 发行版，也可使用 syslog 实用程序记录审计记录。

二进制格式的审计文件可以存储在本地文件系统中，也可以存储在挂载了 NFS 的文件服务器中。存储位置可以包括同一系统上的多个分区、不同系统上的分区，或者相互链接的不同网络中的系统分区。相互链接的审计文件集合称为审计迹。审计记录在审计文件中按时间顺序累积。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间，以及其他相关信息。

审计记录还可以使用 syslog 实用程序进行监视。这些审计日志可以在本地存储。或者，可以通过 UDP 协议将这些日志发送到远程系统。有关更多信息，请参见审计日志。