file 标记

file 标记是由 auditd 守护进程生成的特殊标记。当停用旧审计文件时，此标记可标记新审计文件的开始以及旧审计文件的结束。auditd 守护进程可生成包含此标记的特殊审计记录，以便将连续的审计文件同时“链接”到一个审计跟踪中。file 标记具有四个字段：

• 标记 ID 字段，将此标记标识为 file 标记

• 时间标记字段，标识创建或关闭文件的日期和时间

• 文件名长度字段

• 包含以空字符结尾的文件名的字段

praudit -x 命令可显示 file 标记的字段：

file,2003-10-13 11:21:35.506 -07:00,

	/var/audit/localhost/files/20031013175058.20031013182135.example1