すべての監査レコードは header トークンで始まります。headerトークンは、すべての監査レコードに共通の情報を示します。次のフィールドが入っています。
トークン ID
header トークンと trailer トークンを含めたバイト単位のレコード長
監査レコード構造体のバージョン番号
監査イベントのタイプを識別するイベント ID
イベントタイプに関する記述情報が付いたイベント ID 修飾子
レコードの作成日時
header トークンが praudit によってデフォルト形式で表示されるときは、次の ioctl からの例のようになります。
header,240,1,ioctl(2),es,Tue Sept 1 16:11:44 1992, + 270000 msec |
praudit -s を使用すると 、 イベント記述 (ioctl(2)) は、次のようにイベント名 (AUE_IOCTL) に置き換えられます。
header,240,1,AUE_IOCTL,es,Tue Sept 1 16:11:44 1992, + 270000 msec |
praudit -r を使用すると、すべてのフィールドが数値として表示されます (10 進数、8 進数、または 16 進数)。この場合、158 はこのイベントのイベント番号です。
20,240,1,158,0003,699754304, + 270000 msec |