审计工作原理

审计在发生指定的事件时生成审计记录。通常情况下，生成审计记录的事件包括：

• 系统启动和系统关闭

• 登录和注销

• 进程创建或进程销毁，或线程创建或线程销毁

• 打开、关闭、创建、销毁或重命名对象

• 使用特权功能或基于角色的访问控制 (role-based access control, RBAC)

• 识别操作和验证操作

• 由进程或用户执行的权限更改

• 管理操作，例如安装软件包

• 特定于站点的应用程序

审计记录从以下三个源生成：

• 应用程序

• asynchronous audit event（异步审计事件）的结果

• 进程系统调用的结果

捕获相关的事件信息后，会将这些信息格式化为审计记录。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间，以及其他相关信息。该记录随后会被放置在活动插件的审计队列中。尽管所有插件都可以处于活动状态，但至少有一个插件必须处于活动状态。

缺省情况下，有一个插件处于活动状态。这个插件即为 audit_binfile 插件，它将审计记录写入审计文件。这些文件以二进制格式存储在本地。活动的 audit_remote 插件可将这些记录发送到远程系统信息库。活动的 audit_syslog 插件可将文本摘要发送到 syslog 实用程序。有关图示，请参见图 26-1。

本地存储后，审计文件可以位于一个或多个 ZFS 池中。ZFS 池可使本地存储易于管理。这些池可以位于不同的系统中，也可以位于不同但链接的网络中。相互链接的审计文件集合称为审计迹。

有关更多信息，请参见配置审计的方式、审计日志和审计插件模块。