header トークンは、監査レコードの始まりをマークし、trailer トークンとの組み合わせでレコード内の他のすべてのトークンを囲むという点で特殊です。header トークンには 6 つのフィールドがあります。これを header トークンとして識別するトークン ID フィールド、ヘッダとトレーラを含めた監査レコードの長さ合計を示すバイト数、監査レコード構造のバージョンを識別するバージョン番号、レコードが表す監査イベントのタイプを識別する監査イベント ID、イベントのタイプに関する補助記述情報が入ったイベント ID 修飾子、レコードの作成日時の 6 つです。図 A-11 は header トークンを示しています。
イベント修飾子フィールドでは、次のフラグが定義されています。
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE fail audit event
Solaris 7 リリースでは、header トークンを、32 ビットタイムスタンプではなく 64 ビットタイムスタンプで表示できます。