Как хранятся протоколы аудита и что происходит при их переполнении?

Система хранит два типа файлов - история аудита (Audit History), отражающая все запуски AUDITCON и протоколы аудита (Audit File).
Протоколы аудита событий NDS каждого контейнера и тома записываются в отдельные файлы. Эти файлы (даже их имена) не просматриваются никакими средствами, кроме AUDITCON. При достижении ими порогового размера на консоль сервера и на станции пользователей (у которых не запрещен прием сообщений) выдается предупреждение. При достижении максимально допустимого размера файл архивируется в старый (Old file) и очищается. Старые файлы хранятся в архиве, а когда их количество достигает заданного предела, архив преобразуется в отключенный (Old offline) и начинается новый.
Реакция системы на переполнение файлов аудита задается в опциях конфигурирования AUDITCON, там же возможны и ручные действия с файлами.
Пороговый размер и предупреждение всех пользователей задается параметрами Audit File Treshold Size и Broadcast Errors to All Users, час начала архивирования (0-23) и количество хранимых в архиве старых файлов (1-15) задается параметрами Hour of Day to Archive и Number of Old Audit Files to Keep, максимальный размер рабочего файла - Audit File Maximum Size.
При достижении максимального размера система может по выбору автоматически архивировать файл (Archive Audit File) или прекращать регистрацию событий (Disable Event Recording). Для аудита томов можно установить и автоматическое размонтирование тома при переполнении его файла аудита (Dismount Volume), что несколько противоречит провозглашенному принципу пассивности аудита.

Содержание раздела