记录与安全相关的事件的出现
鉴别审计层次、列举可被审计的事件类型、鉴别有各种审计记录类型提供的相关审计信息的最小集合
系统可以定义可审计事件清单,每个可审计事件对应于某个事件级别(低、中、高)。
敏感数据的访问,目标对象的删除,访问权限或能力的授予或废除,改变主体或目标的安全属性,标志定义和用户授权认证功能的使用,审计功能的启动和关闭。
应包括事件发生的日期、时间、事件类型、主题标志、执行结果、引起此事件的用户标志以及对每个审计事件与该事件有关的审计信息