file 标记是由 auditd 守护进程生成的特殊标记。当停用旧审计文件时,此标记可标记新审计文件的开始以及旧审计文件的结束。auditd 守护进程可生成包含此标记的特殊审计记录,以便将连续的审计文件同时“链接”到一个审计跟踪中。file 标记具有四个字段:
标记 ID 字段,将此标记标识为 file 标记
时间标记字段,标识创建或关闭文件的日期和时间
文件名长度字段
包含以空字符结尾的文件名的字段
praudit -x 命令可显示 file 标记的字段:
file,2003-10-13 11:21:35.506 -07:00, /var/audit/localhost/files/20031013175058.20031013182135.example1 |