header トークンは、監査レコードの始まりをマークし、trailer トークンとの組合せでレコード内の他のすべてのトークンを囲むという点で特殊です。header トークンには 6 つのフィールドがあります。これを header トークンとして識別するトークン IDフィールド、ヘッダとトレーラを含めた監査レコードの長さ合計を示すバイト数、監査レコード構造のバージョンを識別するバージョン番号、レコードが表す監査イベントのタイプを識別する監査イベント ID、イベントのタイプに関する補助記述情報が入ったイベント ID 修飾子、レコードの作成日時の 6 つです。図 A-11は header トークンを示しています。
イベント修飾子フィールドでは、次のフラグが定義されています。
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE fail audit event