header トークン

header トークンは、監査レコードの開始を示すという意味で、特殊なトークンです。trailer トークンとの組み合わせでレコード内のほかのすべてのトークンを囲む特殊なトークンです。

header トークンには次の 8 つのフィールドがあります。

• header トークンであることを特定するトークン ID

• この監査レコード全体の長さのバイト数。header トークンと trailer トークンを含みます

• この監査レコード構造体のバージョンを特定するバージョン番号

• このレコードが表す監査イベントを特定する監査イベント ID

• この監査イベントの特殊な特性を特定する ID 修飾子

  ID 修飾子フィールドでは、次のフラグが定義されています。

  0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE failed audit event

• アドレスの種類。IPv4 または IPv6

• マシンのアドレス

• レコードの作成日時

64 ビットシステムでは、header トークンは、32 ビットタイムスタンプではなく 64 ビットタイムスタンプで表示されます。

praudit コマンドでは、header トークンは次のように表示されます。

header,69,2,su,,machine1,2009-04-08 13:11:58.209 -07:00

praudit -x コマンドでは、header トークンのフィールドは監査レコードの先頭に表示されます。行は、表示の都合上、折り返して記載されています。

<record version="2" event="su" host="machine1" 
iso8601="2009-04-08 13:11:58.209 -07:00">