header トークンは、監査レコードの開始を示すという意味で、特殊なトークンです。trailer トークンとの組み合わせでレコード内のほかのすべてのトークンを囲む特殊なトークンです。
まれに、header トークンに 1 つまたは複数のイベント修飾子が含まれている場合があります。
header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00
header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00
praudit コマンドでは、header トークンは次のように表示されます。
header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00
praudit -x コマンドでは、header トークンのフィールドは監査レコードの先頭に表示されます。次の例では、表示の都合上、行が折り返して記載されています。
<record version="2" event="execve(2)" host="machine1" iso8601="2010-10-10 12:11:10.209 -07:00">