header トークン

すべての監査レコードは header トークンで始まります。headerトークンは、すべての監査レコードに共通の情報を示します。次のフィールドが入っています。

• トークン ID

• header トークンと trailer トークンを含めたバイト単位のレコード長

• 監査レコード構造体のバージョン番号

• 監査イベントのタイプを識別するイベント ID

• イベントタイプに関する記述情報が付いたイベント ID 修飾子

• レコードの作成日時

header トークンが praudit によってデフォルト形式で表示されるときは、次の ioctl からの例のようになります。

header,240,1,ioctl(2),es,Tue Sept  1 16:11:44 1992, + 270000 msec

praudit -s を使用すると 、 イベント記述 (ioctl(2)) は、次のようにイベント名 (AUE_IOCTL) に置き換えられます。

header,240,1,AUE_IOCTL,es,Tue Sept 1 16:11:44 1992, + 270000 msec

praudit -r を使用すると、すべてのフィールドが数値として表示されます (10 進数、8 進数、または 16 進数)。この場合、158 はこのイベントのイベント番号です。

20,240,1,158,0003,699754304, + 270000 msec

praudit では時刻がミリ秒単位で表示されるので注意してください。