header 标记

header 标记的特殊之处在于，它标记审计记录的开始。header 标记与 trailer 标记组合使用，将记录中的所有其他标记括在一起。

在极少的情况下，header 标记可能会包含一个或多个事件修饰符：

• fe 指示失败的审计事件

• fp 指示对特权的使用失败

• na 指示无归属事件

  header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00

• rd 指示从对象中读取数据

• sp 指示特权的使用成功

  header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00

• wr 指示向对象写入数据

praudit 命令按如下方式显示 header 标记：

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

praudit -x 命令在审计记录开始时显示 header 标记的字段。根据显示的需要，以下示例中进行了换行。

<record version="2" event="execve(2)" host="machine1"
iso8601="2010-10-10 12:11:10.209 -07:00">