Se mergulharmos no código-fonte,
% rpm -qi audit | grep http
Packager : CentOS BuildSystem <http://bugs.centos.org>
URL : http://people.redhat.com/sgrubb/audit/
...
% git clone https://github.com/linux-audit/audit-userspace.git
% cd audit-userspace/
E, em seguida, adivinhe que a época é um %d
sinalizador para printf
seguido por dois pontos (também pode ser um %ld
ou %u
ou %lu
dependendo se long
ou unsigned
é por algum motivo envolvido):
% grep -ri '%d:' . | tail -1
./auparse/test/auparse_test.py: print(" event time: %d.%d:%d, host=%s" % (event.sec, event.milli, event.serial, none_to_null(event.host)))
encontramos algum código de teste que indica que os campos são segundos, milissegundos e algum tipo de número de série do evento. A partir da escavação adicional, esses valores são agrupados, pois todos pertencem a uma estrutura de memória específica. Espero que os documentos tenham mais informações sobre o que é esse número de série ...