目的：紀錄系統和用戶事件，并對審計過程自身進行保護。這里值得注意的就是紀錄事件的細度。Solaris提供了很強大的審計功能，甚至可以紀錄每一條調試信息，但是這樣做是不明智的，因為很多信息對用戶沒用，而且會使系統性能下降。審計細度需要管理員根據用途和需要自行訂制。

實現：

1. 查看日志

1)history文件

通常在根目錄下，隱藏文件，記錄了root執行的命令

2)/var/adm

messages：記載來自系統核心的各種運行日志，可以記載的內容是由/etc/syslog.conf決定的

sulog：記載著普通用戶嘗試su成為其它用戶的紀錄。它的格式為： 發生時間 +/-(成功/失敗) pts號

utmpx：這兩個文件是不具可讀性的，它們記錄著當前登錄在主機上的用戶，管理員可以用w，who等命令來看

wtmpx：相當于歷史紀錄，記錄著所有登錄過主機的用戶，時間，來源等內容，可用last命令來看

3)/var/log

syslog文件，這個文件的內容一般是紀錄mail事件的

2. syslog

1)實時錯誤檢查：

tail –f /var/adm/messages

-f在監視器上允許看見每條記錄 /var/adm/messages記錄事件路徑

2)/etc/syslog.conf語法：

*.err;kern.debug;deamon.notice;mail.crit /var/adm/messages

工具認可的值

user        用戶進程產生的消息。這是來自沒有在文件列表中的設備的消息的默認
            優先級
kern        由內核產生的消息
mail        郵件系統
daemon        系統守護進程
auth        授權系統，如login、su
lpr        行式打印機假脫機系統
news        網絡新聞系統USENET保留值
uucp        為UUCP系統保留值，目前UUCP不使用syslog機制
cron        Cron/at工具；crontab、at、cron
local0-7        為本地使用保留
mark        內部用于由syslog產生的時間戳消息
*        除標記工具之外的所有工具
級別認可的值（按重要性降序排列）
emerg        用于通常必須廣播給所有用戶的恐慌情況
alert        必須立即被修正的情況，例如被損壞的系統數據庫
crit        用戶對關鍵情況的告警，例如設備錯誤
err        用于其他錯誤
warning        用于所有的警告信息
notice        用于沒有錯誤但是可能需要特別處理的情況。
info        通知消息
debug        用于通常只在調試時才使用的消息
none        不發送從指出的設備發來的消息到選定文件中

3) 例如如果要紀錄登錄信息（telnet），可以這樣做：
/etc/default/login中：SYSLOG=YES

/etc/syslog.conf中添加：auth.notice /export/home/wangyu/log

（把日志記錄在/export/home/wangyu/log文件中，中間不是空格，是Tab）

重新啟動syslog守護進程

當telnet上去的時候，我們看到/export/home/wangyu/log中有：

Sep 11 10:07:25 hlstar login: [ID 254462 auth.notice] ROOT LOGIN /dev/pts/1 FROM 192.168.0.9