Cada registro de auditoría registra la aparición de un único evento auditado. El registro incluye información, como quién realizó la acción, qué archivos fueron afectados, qué acción se intentó realizar y dónde y cuándo ocurrió la acción. El siguiente ejemplo muestra un registro de auditoría login con tres tokens: header, subject y return:
header,69,2,login - local,,example_system,2010-10-10 10:10:10.020 -07:00 subject,jdoe,jdoe,staff,jdoe,staff,1210,4076076536,69 2 example_system return,success,0
El tipo de información que se guarda para cada uno de los eventos de auditoría se define mediante un conjunto de tokens de auditoría. Cada vez que un registro de auditoría se crea para un evento, el registro contiene algunos de los tokens o todos los tokens que se definen para el evento. La naturaleza del evento determina qué tokens se registran. En el ejemplo anterior, cada línea empieza con el nombre del token de auditoría. El contenido del token de auditoría sigue al nombre del token. Juntos, los tokens de auditoría header, subject y return componen el registro de auditoría login - local. Para mostrar los tokens que componen un registro de auditoría, utilice el comando auditrecord -e event.
Para obtener una descripción detallada de la estructura de cada token de auditoría con un ejemplo de salida de praudit, consulte Formatos de token de auditoría. Para obtener una descripción de la cadena binaria de tokens de auditoría, consulte la página del comando man audit.log(4).