截获事件的审核工作原理

截获事件是 CA ControlMinder 首次遇到的事件，其内核缓存中不存在授权信息或审核信息。

为记录审核记录，CA ControlMinder 将执行以下操作并对截获事件产生相应影响：

该图说明了拦截事件的审核工作原理

在非强制模式中，不截获或审核事件。
在完全强制模式中，CA ControlMinder 执行以下操作：
1. 授权引擎根据授权结果将审核项目放置在审核队列和审核缓存中。
  CA ControlMinder 仅在将资源或访问者的审核属性设置为审核结果事件且没有将审核筛选文件设置为筛选该事件时，才写入审核项目。
2. 授权引擎根据授权结果中返回信息答复，并将审核相关信息返回到内核。
在仅审核模式中，CA ControlMinder 不处理授权请求。无论资源和用户的审核属性是什么，将始终写入审核信息。
仅在审核筛选文件没有设置为筛选该事件时，CA ControlMinder 才写入审核项目。在该模式中的授权结果总为 P（允许）。

注意：不会缓存拦截到的登录事件（TERMINAL 类）和用户跟踪生成的审核记录；授权引擎总是写入这些事件的审核记录。