header トークンは、監査レコードの開始を示すという意味で、特殊なトークンです。trailer トークンとの組み合わせでレコード内のほかのすべてのトークンを囲む特殊なトークンです。
header トークンには次の 8 つのフィールドがあります。
header トークンであることを特定するトークン ID
この監査レコード全体の長さのバイト数。header トークンと trailer トークンを含みます
この監査レコード構造体のバージョンを特定するバージョン番号
このレコードが表す監査イベントを特定する監査イベント ID
この監査イベントの特殊な特性を特定する ID 修飾子
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE failed audit event |
アドレスの種類。IPv4 または IPv6
マシンのアドレス
レコードの作成日時
64 ビットシステムでは、header トークンは、32 ビットタイムスタンプではなく 64 ビットタイムスタンプで表示されます。
praudit コマンドでは、header トークンは次のように表示されます。
header,69,2,su,,machine1,2009-04-08 13:11:58.209 -07:00 |
praudit -x コマンドでは、header トークンのフィールドは監査レコードの先頭に表示されます。行は、表示の都合上、折り返して記載されています。
<record version="2" event="su" host="machine1" iso8601="2009-04-08 13:11:58.209 -07:00"> |