审计工作原理

审计在发生指定的事件时生成审计记录。通常情况下，生成审计记录的事件包括：

• 系统启动和系统关闭

• 登录和注销

• 进程创建或进程销毁，或线程创建或线程销毁

• 打开、关闭、创建、销毁或重命名对象

• 使用特权功能或基于角色的访问控制 (role-based access control, RBAC)

• 识别操作和验证操作

• 由进程或用户执行的权限更改

• 管理操作，例如安装软件包

• 特定于站点的应用程序

审计记录从以下三个源生成：

• 应用程序

• asynchronous audit event（异步审计事件）的结果

• 进程系统调用的结果

捕获相关的事件信息后，会将这些信息格式化为审计记录。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间，以及其他相关信息。该记录随后会被放置在审计队列中并发送到活动插件进行存储。尽管所有插件都可以处于活动状态，但至少有一个插件必须处于活动状态。配置审计的方式和审计插件模块中介绍了这些插件。