El token file es un token especial que marca el inicio de un nuevo archivo de auditoría y el fin de un antiguo archivo de auditoría cuando se desactiva el archivo antiguo. El token file inicial identifica el archivo anterior en la pista de auditoría. El token file final identifica el archivo siguiente en la pista de auditoría. Estos tokens unen archivos de auditoría sucesivos en una pista de auditoría.
El comando praudit -x muestra los campos del token file. La línea en el siguiente ejemplo se ajustó con fines de visualización.
<file iso8601="2009-04-08 14:18:26.200 -07:00"> /var/audit/machine1/files/20090408211826.not_terminated.machine1</file>