header 토큰

header 토큰은 감사 레코드의 시작을 표시하는 특수 토큰입니다. header 토큰은 trailer 토큰과 결합하여 레코드의 다른 모든 토큰을 괄호로 묶습니다.

드물게, header 토큰이 하나 이상의 이벤트 수정자를 포함할 수 있습니다.

• fe는 실패한 감사 이벤트를 나타냅니다.

• fp는 실패한 권한 사용을 나타냅니다.

• na는 지정 불가능한 이벤트를 나타냅니다.

  header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00

• rd는 객체에서 데이터 읽기를 나타냅니다.

• sp는 성공한 권한 사용을 나타냅니다.

  header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00

• wr은 객체에 데이터 쓰기를 나타냅니다.

praudit 명령은 header 토큰을 다음과 같이 표시합니다.

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

praudit -x 명령은 header 토큰의 필드를 감사 레코드의 시작에 표시합니다. 다음 예제의 행은 표시 목적으로 줄바꿈되었습니다.

<record version="2" event="execve(2)" host="machine1"
iso8601="2010-10-10 12:11:10.209 -07:00">