header トークン

header トークンは、監査レコードの始まりをマークし、trailer トークンとの組合せでレコード内の他のすべてのトークンを囲むという点で特殊です。header トークンには 6 つのフィールドがあります。これを header トークンとして識別するトークン IDフィールド、ヘッダとトレーラを含めた監査レコードの長さ合計を示すバイト数、監査レコード構造のバージョンを識別するバージョン番号、レコードが表す監査イベントのタイプを識別する監査イベント ID、イベントのタイプに関する補助記述情報が入ったイベント ID 修飾子、レコードの作成日時の 6 つです。図 A-11は header トークンを示しています。

図 A-11 header トークンの形式

イベント修飾子フィールドでは、次のフラグが定義されています。

0x4000			PAD_NOTATTR						nonattributable event
0x8000			PAD_FAILURE						fail audit event