El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.
De manera poco frecuente, un token header puede incluir uno o más modificadores de eventos:
na indica un evento no atribuible
header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00
sp indica el uso correcto del privilegio
header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00
El comando praudit muestra el token header de la siguiente manera:
header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00
El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea en el siguiente ejemplo se ajustó con fines de visualización.
<record version="2" event="execve(2)" host="machine1" iso8601="2010-10-10 12:11:10.209 -07:00">