監査は、システムの使用状況の疑わしい、または異常なパターンを明らかにすることによって、潜在的なセキュリティー違反の検出に役立ちます。監査ではまた、疑わしいアクションを追跡して特定のユーザーを突き止めるための手段も提供されるため、抑止力としても機能します。活動を監査されていることをユーザーが知っている場合、悪質な活動を試みる可能性は低くなると考えられます。
コンピュータシステム、特にネットワーク上のシステムを保護するためには、システムのプロセスまたはユーザーのプロセスが開始する前に活動を制御するメカニズムが必要です。セキュリティーの確保には、動作の経過をモニターするツールが必要となります。また、セキュリティーの確保には、動作終了後に動作内容を報告することも必要です。
ほとんどの監査アクティビティーでは現在のイベントがモニタリングされ、指定されたパラメータを満たすイベントが報告されるため、ユーザーがログインするか、またはシステムプロセスが開始される前に監査パラメータを設定します。これらのイベントが監査サービスでどのようにモニターおよび報告されるかについては、監査の計画および 監査サービスの管理で詳細に説明されています。
監査では、ハッカーによる不正な侵入を防止することはできません。ただし、監査サービスでは、たとえば、特定のユーザーが特定の日時に特定の動作を行なったことが報告されます。監査報告では、入力経路とユーザー名によってこのユーザーを特定できます。これらの情報は、すぐに端末に表示したり、ファイルに出力してあとで分析したりできます。このように、監査サービスの提供するデータから、次のことが判断できます。
どのようにシステムセキュリティーが低下したか
必要なセキュリティーレベルを実現するために閉じることが必要なセキュリティーホールはどれか