每条审计记录都会记录一个发生的审计事件。该记录包含操作执行者、受影响的文件、尝试执行的操作以及操作发生的时间和位置等信息。以下示例显示了带有三个标记(header、subject 和 return)的 login 审计记录:
header,69,2,login - local,,example_system,2010-10-10 10:10:10.020 -07:00 subject,jdoe,jdoe,staff,jdoe,staff,1210,4076076536,69 2 example_system return,success,0
为每个审计事件保存的信息类型由一组审计标记进行定义。每次为事件创建审计记录时,记录中都会包含为该事件定义的部分或全部标记。事件的性质决定了要记录的标记。在前面的示例中,每行都以审计标记的名称开头。标记名称后跟审计标记的内容。header、subject 和 return 审计标记一起组成了 login - local 审计记录。要显示组成审计记录的标记,请使用 auditrecord -e event 命令。
有关每个审计标记结构的详细说明和 praudit 输出示例,请参见审计标记格式。有关审计标记的二进制流的说明,请参见 audit.log(4) 手册页。