header 标记

header 标记的特殊之处在于它标记审计记录的开始。header 标记与 trailer 标记组合使用以将记录中的所有其他标记括在一起。header 标记具有八个字段：

• 标记 ID 字段，将此标记标识为 header 标记

• 字节计数字段，表示审计记录的总长度（包括 header 和 trailer 标记）

• 版本号字段，标识审计记录结构的版本

• 审计事件 ID 字段，标识记录所表示的审计事件

• ID 修饰符字段，标识审计事件的特殊特征

• 地址类型字段，IPv4 或 IPv6

• 计算机 IP 地址字段

• 时间和日期字段，表示记录的创建时间和日期

在 64 位系统上，header 标记使用 64 位时间标记而不是 32 位时间标记显示。

praudit 命令可按如下方式显示 ioctl() 系统调用的 header 标记：

header,176,2,ioctl(2),fe,example1,2003-09-08 11:23:31.050 -07:00

ID 修饰符字段具有以下已定义标志：

0x4000			PAD_NOTATTR						nonattributable event

0x8000			PAD_FAILURE						failed audit event