AUDITFILE エミッターは、ファイルのコレクションに監査レコードを書き込みます。レコードをバイナリ形式で保持するこれらのファイルは、監査ファイル API または監査マネージャー管理ユーティリティを使用して処理できます。
コレクション内の現在のファイルが最大サイズに達すると、エミッターはコレクション内の次のファイルに書き込みます。コレクション内のすべてのファイルが最大ファイルに達すると、エミッターはコレクション内の最初のファイルを再利用しようとします。これは、監査ファイルの内容がまだダンプされていない場合は失敗します。
コレクション内の最後に使用可能なファイルの半分がいっぱいになると、エミッターは Windows イベント ログまたは Unix syslog に警告イベントを書き込みます。コレクション内の最後に使用可能なファイルがいっぱいになると、エミッターは Windows イベント ログまたは Unix syslog にエラー イベントを書き込みます。
使用可能なファイルがない場合、エミッターは、ファイルが使用可能になるまで監査イベントをメモリにキャッシュしようとします。使用可能なメモリがない場合、エミッターは、キャッシュからイベントを削除して最新のイベントをキャッシュできるようにします。監査ファイルが使用可能になると、エミッターは、失われた監査イベントの数を詳述する監査イベントを生成し、最初のイベントとしてファイルに書き込みます。
監査ファイルは、最大サイズに達するまで、または管理者がダンプ可能として設定するまでダンプできません。アクティブなファイルをダンプ可能としてマークすると、そのファイルはすぐに閉じられ、コレクション内の次のファイルがアクティブなファイルになります。