trailer トークン

header と trailer の 2 つのトークンは、監査レコードの終端を区別し、他のすべてのトークンを囲む特殊なトークンです。header トークンは監査レコードを開始します。 trailer トークンは監査レコードを終了します。 trailer トークンは、省略可能なトークンで、trail 監査ポリシーが設定されているときにだけ、各レコードの最後のトークンとして追加されます。

また、trailer トークンを使用すると監査トレールを逆方向に検索できます。3 つのフィールドがあります。

• trailer トークンであることを特定するトークン ID

• レコードの終了を示すパッド番号

• header トークンと trailerトークンを含む監査レコードの合計文字数

praudit コマンドでは、trailer トークンは次のように表示されます。

trailer,136

次の図に trailer トークンの形式を示します。

図 26–28 trailer トークンの形式

監査トレール解析ソフトウェアでは、header および trailer トークンが常に監査レコードに追加されます。ファイルシステムがいっぱいのときなど、書き込みエラーが発生すると、監査レコードが不完全になって切り捨てられることがあります。auditsvc() システムコールは、監査トレールにデータを書き込むときに、監査レコードをすべて書き込もうとします。ファイルシステムの容量が足りなくなると、システムコールは現在の監査レコードを解放せずに終了します。システムコールが再開するときには、切り捨てたレコードを反復できます。詳細は、auditsvc(2) のマニュアルページを参照してください。