subject 标记描述执行或尝试执行某项操作的用户。格式与 process 标记的格式相同。
subject 标记始终作为系统调用的内核生成审计记录的一部分返回。praudit 命令按如下方式显示 subject 标记:
subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1
praudit -x 命令显示 subject 标记的字段。根据显示的需要,以下示例中进行了换行。
<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>