subject トークンは、ある操作を実行するユーザーまたは実行を試みるユーザーを記述します。形式は process トークンと同じです。
subjectトークンは、必ずシステムコールに関してカーネルによって生成される監査レコードの一部として返されます。praudit コマンドでは、subject トークンは次のように表示されます。
subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1
praudit -x コマンドでは、subject トークンのフィールドは次のように表示されます。次の例では、表示の都合上、行が折り返して記載されています。
<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>