设置审核过程

根据数据库中定义的审核规则，CA ControlMinder 可保留拒绝访问和授权访问事件的审核记录。是否记录某个事件的决策是基于以下规则做出的：

每个访问者和资源都有 AUDIT 属性，可以设置该属性以表示访问成功还是失败或者是否应该记录成功和失败；另外，访问者的 AUDIT 属性可以表示登录成功还是失败或者是否应该记录成功和失败。
如果资源或访问者具有 AUDIT(ALL) 属性，则无论访问成功还是失败，均将记录与 CA ControlMinder 所保护的资源相关的所有事件。
如果对 CA ControlMinder 所保护资源的访问成功，且用户或资源具有 AUDIT(SUCCESS) 属性，则将记录该事件。
如果对 CA ControlMinder 所保护资源的访问失败，且用户或资源具有 AUDIT(FAIL) 属性，则将记录该事件。

只有系统审核者（向其分配了 AUDITOR 属性的用户）可以执行审核任务，例如，更改分配给用户和资源的审核属性。

如果资源处于警告模式，则任何违反资源访问规则的访问都将导致生成警告模式审核记录，该记录表明 CA ControlMinder 允许访问资源。

审核记录构成了称为审核日志 (seos.audit) 的文件。注册表中指定了审核日志的位置，它与错误日志在相同的位置。

在以下注册表键中指定了审核日志（以及错误日志）：

HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\logmgr

审核日志是二进制文件，不能进行编辑或更改。但是，可以使用 CA ControlMinder 端点管理查看已记录的事件、按时间限制或事件类型筛选事件等等。（还可以使用 seaudit 实用程序来完成这些相同的任务。）