header トークン

header トークンは、監査レコードの始まりをマークし、trailer トークンとの組み合わせでレコード内の他のすべてのトークンを囲む特殊なトークンです。次の 6 つのフィールドがあります。

• header トークンであることを特定するトークン ID

• この監査レコード全体の長さのバイト数。ヘッダーとトレーラを含む

• この監査レコード構造体のバージョンを特定するバージョン番号

• このレコードが表す監査イベントの種類を特定する監査イベント ID

• この監査イベントの特殊な特性を特定する ID 修飾子

• レコードの作成日時

64 ビットシステムでは、header トークンは、32 ビットタイムスタンプではなく 64 ビットタイムスタンプで表示されます。

praudit では、ioctl() システムコールの header トークンは次のように表示されます。

header,240,1,ioctl(2),es,Tue Sept  1 16:11:44 2001, + 270000 msec

次の図に header トークンの形式を示します。

図 25-13 header トークンの形式

ID 修飾子フィールドでは、次のフラグが定義されています。

0x4000			PAD_NOTATTR						nonattributable event
0x8000			PAD_FAILURE						fail audit event