L'audit génère des enregistrements d'audit lorsque des événements donnés se produisent. Le plus souvent, les événements générant des enregistrements d'audit sont les suivants :
Démarrage et arrêt du système
Connexion et déconnexion
Création ou destruction de processus et création ou destruction de threads
Ouverture, fermeture, création, destruction, ou modification du nom d'objets
Utilisation de droits
Actions d'identification et d'authentification
Modification d'autorisations par un processus ou un utilisateur
Actions d'administration, telles que l'installation d'un package
Applications spécifiques à un site
Les enregistrements d'audit sont générés à partir de trois sources :
Par une application
A la suite d'un événement d'audit asynchrone
A la suite d'un appel système de processus
Une fois recueillies, les informations pertinentes d'événement prennent la forme d'un enregistrement d'audit. Chaque enregistrement d'audit contient des informations qui identifient l'événement, la cause, l'heure et d'autres informations pertinentes. Cet enregistrement est ensuite placé dans une file d'attente d'audit et envoyé aux plug-ins actifs pour le stockage. Au moins un plug-in doit être actif, bien que tous puissent l'être. Les plug-ins sont décrits dans les sections Configuration de l'audit et Modules de plug-in d'audit.