Conservation d'une trace des opérations réalisées sur une machine (occurrence d'événements).
 A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements, contenant
 l'action effectuée, l'auteur, et le statut de l'action (succès ou échec).
 Evénements pouvant être audités (un journal par type d'événément) :
  - Applications (audit des applications et des services)
  - Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)
  - Système (audit des activités du système d'exploitation)
 et d'autres journaux liés aux services optionnels installés sur les serveurs :
  - Active Directory
  - Réplication de fichiers
  - DNS, ...
 Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory,
 DNS et Réplication de fichiers.
 Les différents journaux d'événements sont consultable à partir de l'Obervateur d'événement.