Token header

El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.

De manera poco frecuente, un token header puede incluir uno o más modificadores de eventos:

• fe indica un evento de auditoría con errores

• fp indica el uso con errores de privilegios

• na indica un evento no atribuible

  header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00

• rd indica que los datos se leen del objeto

• sp indica el uso correcto del privilegio

  header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00

• wr indica que los datos se escriben en el objeto

El comando praudit muestra el token header de la siguiente manera:

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea en el siguiente ejemplo se ajustó con fines de visualización.

<record version="2" event="execve(2)" host="machine1"
iso8601="2010-10-10 12:11:10.209 -07:00">