在发生指定事件时,审计会生成审计记录。通常情况下,生成审计记录的事件包括:
系统启动和系统关闭
登录和注销
进程创建或进程销毁,或线程创建或线程销毁
打开、关闭、创建、销毁或重命名对象
使用权限
识别操作和验证操作
由进程或用户执行的权限更改
管理操作,例如安装软件包
特定于站点的应用程序
审计记录从以下三个源生成:
应用程序
进程系统调用的结果
捕获相关的事件信息后,会将这些信息格式化为审计记录。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间,以及其他相关信息。该记录随后会被放置在审计队列中并发送到活动插件进行存储。尽管所有插件都可以处于活动状态,但至少有一个插件必须处于活动状态。配置审计的方式和审计插件模块中介绍了这些插件。