Nach der Öffnung [AUDT: Container, der die Meldung selbst identifiziert, die nächsten Attribute liefern Informationen über das Ereignis oder die Aktion, die durch die Überwachungsmeldung beschrieben werden. Diese Attribute sind im folgenden Beispiel hervorgehoben:

2018-12-05T08:24:45.921845 [AUDT:[RSLT(FC32):SUCS]
[TIME(UI64):11454] [SAIP(IPAD):"10.224.0.100"] [S3AI(CSTR):"60025621595611246499"] [SACC(CSTR):"account"] [S3AK(CSTR):"SGKH4_Nc8SO1H6w3w0nCOFCGgk__E6dYzKlumRsKJA=="] [SUSR(CSTR):"urn:sgws:identity::60025621595611246499:root"]
[SBAI(CSTR):"60025621595611246499"] [SBAC(CSTR):"account"] [S3BK(CSTR):"bucket"]
[S3KY(CSTR):"object"] [CBID(UI64):0xCC128B9B9E428347]
[UUID(CSTR):"B975D2CE-E4DA-4D14-8A23-1CB4B83F2CD8"] [CSIZ(UI64):30720] [AVER(UI32):10] [ATIM(UI64):1543998285921845] [ATYP(FC32):SHEA] [ANID(UI32):12281045] [AMID(FC32):S3RQ] [ATID(UI64):15552417629170647261]]

Der ATYP Element (unterstrichen im Beispiel) identifiziert, welches Ereignis die Nachricht erzeugt hat. Diese Beispielmeldung enthält den SHEA-Nachrichtencode ([ATYP(FC32):SHEA]), der angibt, dass er von einer erfolgreichen S3-KOPFANFORDERUNG generiert wurde.

"Gemeinsame Elemente in Audit-Meldungen"

"Audit-Meldungen"