La auditoría genera registros de auditoría cuando se producen eventos especificados. Habitualmente, los eventos que generan registros de auditoría incluyen los siguientes:
Inicio y cierre del sistema
Inicio y cierre de sesión
Creación o destrucción de proceso, o creación o destrucción de subproceso
Apertura, cierre, creación, destrucción o cambio de nombre de objetos
Uso de derechos
Acciones de identificación y de autenticación
Cambios de permiso por un proceso o usuario
Acciones administrativas, como la instalación de un paquete
Aplicaciones específicas de sitio
Los registros de auditoría se generan a partir de tres orígenes:
Por una aplicación
Como resultado de un evento asíncrono de auditoría
Como resultado de una llamada del sistema de proceso
Una vez que la información de evento pertinente se ha capturado, la información se formatea en un registro de auditoría. En cada registro de auditoría, se incluye información que identifica el evento, qué generó el evento, la hora del evento y otra información relevante. Este registro se coloca en una cola de auditoría y se envía a los complementos activos para su almacenamiento. Al menos un complemento debe estar activo, aunque todos los complementos pueden estar activos. Los complementos se describen en ¿Cómo se configura la auditoría? y en Módulos de complemento de auditoría.