審計的目的
T18336的原話 P48頁“安全審計包括識別、記錄、儲存和分析那些與安全相關活動有關的資訊。檢查審計記錄結果能判斷出發生了哪些安全相關活動以及哪個使用者對這些活動負責。
這段話說明了幾個問題：
1、審計日誌的範圍：主要適用於與安全相關活動有關的資訊，非安全的資訊不在此範圍。
2、審計日誌的目的：主要用於判斷髮生了哪些安全活動。
因此審計的目的和範圍都已經確定。

審計在安全的位置
1996年，美國國防部DoD提出了PDRR模型，即Protection（P防護）、Dection（D檢測）、Response（R響應）、Recovery（R恢復），這4個部分構成了一個動態的資訊保安週期。PPDRR模型在這個模型的基礎上改進的，增加了一個P是Policy。

 

審計元件，主要負責Dection（檢測）和Response（響應）兩個方面，非常重要。
1.3審計元件
審計的元件主要包括：
安全審計自動響應
安全審計資料生產
安全審計分析
安全審計查閱
安全事件選擇
安全審計事件儲存

這些安全元件，可以劃分成兩組：審計事件產生、審計事件事後查閱分析。

審計事件產生，其基本過程如下：
 
1、選擇需要審計的安全事件。
2、在安全事件發生的時候，產生相應的審計資料。
3、在特定的審計事件發生後，系統自動做出相應。
4、審計資料的儲存。
這樣就形成了一個完整的審計資料產生的過程。


審計事件事後查閱分析
在拿到審計資料後，使用者可以對於審計的資料進行分析和查閱。
 
安全審計查閱，主要體現在使用者對於審計資料訪問控制的能力。
安全審計分析，主要體現在使用者分析審計資料，對攻擊的檢測能力上。
查閱，是分析的基礎。