header トークン

header トークンは、監査レコードの開始を示すという意味で、特殊なトークンです。trailer トークンとの組み合わせでレコード内のほかのすべてのトークンを囲む特殊なトークンです。

まれに、header トークンに 1 つまたは複数のイベント修飾子が含まれている場合があります。

• fe は監査イベントが失敗したことを示す

• fp は特権の使用に失敗したことを示す

• na はユーザーに起因しないイベントを示す

  header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00

• rd はデータがオブジェクトから読み取られることを示す

• sp は特権の使用に成功したことを示す

  header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00

• wr はデータがオブジェクトに書き込まれることを示す

praudit コマンドでは、header トークンは次のように表示されます。

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

praudit -x コマンドでは、header トークンのフィールドは監査レコードの先頭に表示されます。次の例では、表示の都合上、行が折り返して記載されています。

<record version="2" event="execve(2)" host="machine1"
iso8601="2010-10-10 12:11:10.209 -07:00">