L'audit consiste à collecter des données sur l'utilisation des ressources système. Les données d'audit fournissent un enregistrement des événements système ayant trait à la sécurité. Ces données peuvent ensuite être utilisées pour déterminer la responsabilité quant aux actions survenant sur un hôte.
Un audit réussi commence par deux fonctions de sécurité : identification et authentification. A chaque connexion, une fois qu'un utilisateur fournit un nom d'utilisateur et que l'authentification PAM réussit, un ID utilisateur d'audit unique et immuable est généré et associé à l'utilisateur et un ID de session d'audit unique est généré et associé au processus de l'utilisateur. L'ID de session d'audit est hérité par tous les processus démarrés au cours de la session de connexion. Lorsqu'un utilisateur change d'identité, toutes ses actions sont suivies avec le même ID utilisateur d'audit. Pour plus d'informations sur le changement d'identité, reportez-vous à la page de manuel su(1M). Par défaut, certaines actions, telles que l'initialisation et la fermeture du système, sont toujours soumises à un audit.
Le service d'audit active les opérations possibles suivantes :
Surveillance des événements liés à la sécurité survenant sur l'hôte
Enregistrement des événements dans une piste d'audit à l'échelle du réseau
Détection des utilisations inappropriées et des activités non autorisées
Examen des modèles d'accès et des historiques d'accès des individus et des objets
Identification des tentatives de contournement des mécanismes de protection
Détection de l'utilisation étendue d'un privilège survenant lorsqu'un utilisateur change d'identité