目的：纪录系统和用户事件，并对审计过程自身进行保护。这里值得注意的就是纪录事件的细度。Solaris提供了很强大的审计功能，甚至可以纪录每一条调试信息，但是这样做是不明智的，因为很多信息对用户没用，而且会使系统性能下降。审计细度需要管理员根据用途和需要自行订制。

实现：

1. 查看日志

1)history文件

通常在根目录下，隐藏文件，记录了root执行的命令

2)/var/adm

messages：记载来自系统核心的各种运行日志，可以记载的内容是由/etc/syslog.conf决定的

sulog：记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号

utmpx：这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看

wtmpx：相当于历史纪录，记录着所有登录过主机的用户，时间，来源等内容，可用last命令来看

3)/var/log

syslog文件，这个文件的内容一般是纪录mail事件的

2. syslog

1)实时错误检查：

tail –f /var/adm/messages

-f在监视器上允许看见每条记录 /var/adm/messages记录事件路径

2)/etc/syslog.conf语法：

*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages

工具认可的值

user        用户进程产生的消息。这是来自没有在文件列表中的设备的消息的默认
            优先级
kern        由内核产生的消息
mail        邮件系统
daemon        系统守护进程
auth        授权系统，如login、su
lpr        行式打印机假脱机系统
news        网络新闻系统USENET保留值
uucp        为UUCP系统保留值，目前UUCP不使用syslog机制
cron        Cron/at工具；crontab、at、cron
local0-7        为本地使用保留
mark        内部用于由syslog产生的时间戳消息
*        除标记工具之外的所有工具
级别认可的值（按重要性降序排列）
emerg        用于通常必须广播给所有用户的恐慌情况
alert        必须立即被修正的情况，例如被损坏的系统数据库
crit        用户对关键情况的告警，例如设备错误
err        用于其他错误
warning        用于所有的警告信息
notice        用于没有错误但是可能需要特别处理的情况。
info        通知消息
debug        用于通常只在调试时才使用的消息
none        不发送从指出的设备发来的消息到选定文件中

3) 例如如果要纪录登录信息（telnet），可以这样做：
/etc/default/login中：SYSLOG=YES

/etc/syslog.conf中添加：auth.notice /export/home/wangyu/log

（把日志记录在/export/home/wangyu/log文件中，中间不是空格，是Tab）

重新启动syslog守护进程

当telnet上去的时候，我们看到/export/home/wangyu/log中有：

Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9