# 19.2.关键术语

以下术语与安全事件审计相关：

* **事件 (event)**：可审计的事件是任何可以通过审计子系统记录的事件。安全相关的事件示例包括文件的创建、网络连接的建立或用户登录。事件可以是“可归属的”，即可以追溯到经过身份验证的用户，或是“不可归属的”。不可归属事件的示例包括在登录过程中身份验证之前发生的任何事件，例如错误的密码尝试。
* **类别 (class)**：一组相关事件的命名集合，用于选择表达式。常用的事件类别包括“文件创建”（fc）、“执行”（ex）和“登录/注销”（lo）。
* **记录 (record)**：描述安全事件的审计日志条目。记录包含事件类型、执行该操作的主体（用户）信息、日期和时间信息、任何对象或参数的信息，以及成功或失败的条件。
* **审计日志 (trail)**：由一系列描述安全事件的审计记录组成的日志文件。日志按事件完成的时间大致按时间顺序排列。只有授权的进程才允许将记录提交到审计日志中。
* **选择表达式 (selection expression)**：一个包含前缀和审计事件类别名称的字符串，用于匹配事件。
* **预选择 (preselection)**：系统确定哪些事件对管理员有意义的过程。预选择配置使用一系列选择表达式来确定要审计哪些类别的事件，适用于哪些用户，以及适用于已认证和未认证进程的全局设置。
* **缩减 (reduction)**：从现有审计日志中选择记录以进行保存、打印或分析的过程。同样，通过缩减，可以从审计日志中移除不需要的审计记录。通过缩减，管理员可以实施审计数据保存的政策。例如，详细的审计日志可能会保存一个月，但之后可以进行缩减，以仅保留登录信息进行归档。