L'audit permet de détecter des violations de sécurité potentielles en révélant des modèles suspects ou anormaux d'utilisation du système. L'audit offre également un moyen de suivre des actions suspectes, permettant ainsi de remonter à un utilisateur particulier, ce qui a un effet dissuasif. Lorsque les utilisateurs savent que leurs activités sont auditées, ils sont moins susceptibles de tenter des activités malveillantes.
La protection d'un système informatique, en particulier d'un système sur réseau, requiert des mécanismes permettant de contrôler des activités avant que les processus système ou les processus utilisateur ne commencent. La sécurité nécessite des outils permettant de surveiller les activités lorsque celles-ci se produisent. La sécurité requiert également des rapports d'activités après que les activités ont eu lieu.
Il est conseillé de définir les paramètres d'audit S avant la connexion des utilisateurs ou le démarrage des processus système, car la plupart des activités d'audit impliquent la surveillance des événements en cours et la signalisation des événements qui répondent aux paramètres spécifiés. La manière dont l'audit surveille les événements et génère des rapports est traitée en détail dans les Chapter 2, Planification de l'audit et Chapter 3, Gestion du service d'audit.
L'audit ne peut pas empêcher les pirates d'entrer dans le système de manière non autorisée. Cependant, le service d'audit permet par exemple de générer des rapports indiquant qu'un utilisateur spécifique a effectué certaines actions à une heure et une date données. Le rapport d'audit peut identifier l'utilisateur par le biais du chemin d'entrée et du nom de l'utilisateur. Ces informations peuvent être envoyées immédiatement à votre terminal et signalées dans un fichier pour une analyse ultérieure. Par conséquent, le service d'audit fournit des données permettant de déterminer les éléments suivants :
La manière dont la sécurité du système a été compromise.
Les brèches à combler pour assurer le niveau de sécurité souhaité.