header 标记的特殊之处在于它标记审计记录的开始。header 标记与 trailer 标记组合使用以将记录中的所有其他标记括在一起。header 标记具有八个字段:
标记 ID 字段,将此标记标识为 header 标记
字节计数字段,表示审计记录的总长度(包括 header 和 trailer 标记)
版本号字段,标识审计记录结构的版本
审计事件 ID 字段,标识记录所表示的审计事件
ID 修饰符字段,标识审计事件的特殊特征
地址类型字段,IPv4 或 IPv6
计算机 IP 地址字段
时间和日期字段,表示记录的创建时间和日期
在 64 位系统上,header 标记使用 64 位时间标记而不是 32 位时间标记显示。
praudit 命令可按如下方式显示 ioctl() 系统调用的 header 标记:
header,176,2,ioctl(2),fe,example1,2003-09-08 11:23:31.050 -07:00 |
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE failed audit event |