arg 标记

arg 标记包含有关系统调用参数的信息：系统调用的参数号、参数值以及可选说明。此标记允许在审计记录中使用 32 位整数的系统调用参数。arg 标记具有五个字段：

• 标记 ID 字段，将此标记标识为 arg 标记

• 参数 ID 字段，告知标记所指的系统调用参数

• 参数值字段

• 说明性文本字符串长度字段

• 文本字符串字段

praudit 命令可按如下方式显示不包含第四个字段的 arg 标记：

argument,4,0xffbfe0ac,pri

praudit -x 命令包括显示的字段的名称：

<argument arg-num="4" value="0xffbfe0ac" desc="pri"/>