監査トークンの読み方

次の header トークンの例は、praudit がデフォルトで作成する書式です。raw データ (-r) と短縮 (-s) のオプションの例も示します。

監査レコードは、header トークンで始まります。header トークンは、監査レコードすべてに共通する情報を示します。praudit がデフォルトで表示する header トークンは、次の ioctl() の例のようになります。

header,240,1,ioctl(2),,Tue Sept  1 16:11:44 1992, + 270000 msec

次のフィールドがあります。

• トークン ID。ここでは header

• バイトで表したレコード長。header トークンと trailer トークンを含む。ここでは 240

• 監査レコード構造のバージョン番号。ここではバージョン 1

• 監査イベントの種類を示すイベント ID。ここでは ioctl(2)

• イベントの種類に関する情報を記述するイベント ID 修飾子。ここでは記述フィールドは空欄

• レコードが作成された日付と時間。ここでは次のとおり Tue Sept 1 16:11:44 1992, + 270000 msec

praudit -s を使うと、イベントの記述 (上記の praudit のデフォルトの例では ioctl(2)) をイベント名 (AUE_IOCTL) に置き換えることができます。

header,240,1,AUE_IOCTL,,Tue Sept 1 16:11:44 1992, + 270000 msec

praudit -r を使うと、すべてのフィールドが数字で表示されます (10 進数、8 進数、16 進数の場合がある)。ここでは 20 はヘッダートークン ID、158 はこのイベントのイベント番号を表しています。

20,240,1,158,,699754304, + 270000 msec

praudit は、時間をミリ秒単位まで表示します。