4. Auditing (Auditierung)

Nicht alle Systeme, die AH implementieren, werden Auditierung implementieren. Wenn AH jedoch in ein System integriert wird, das Auditierung unterstützt, dann MUSS die AH-Implementierung ebenfalls Auditierung unterstützen und MUSS es einem Systemadministrator ermöglichen, die Auditierung für AH zu aktivieren oder zu deaktivieren. Zum größten Teil ist die Granularität der Auditierung eine lokale Angelegenheit. In dieser Spezifikation werden jedoch mehrere auditfähige Ereignisse identifiziert, und für jedes dieser Ereignisse wird eine Mindestmenge an Informationen definiert, die in einem Audit-Log enthalten sein SOLLTE. Zusätzliche Informationen KÖNNEN ebenfalls im Audit-Log für jedes dieser Ereignisse enthalten sein, und zusätzliche Ereignisse, die nicht explizit in dieser Spezifikation genannt werden, KÖNNEN ebenfalls zu Audit-Log-Einträgen führen. Es besteht keine Anforderung, dass der Empfänger als Reaktion auf die Erkennung eines auditfähigen Ereignisses eine Nachricht an den angeblichen Sender sendet, aufgrund des Potenzials, durch eine solche Aktion Denial-of-Service zu verursachen.