<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7650.3">
<TITLE>RE: auditctl question</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>The records that I care about are the permission denied records.<BR>
If I do...<BR>
<BR>
auditctl -a exit,always -S all -F success=0<BR>
<BR>
I get ....<BR>
<BR>
----<BR>
type=PATH msg=audit(08/03/06 08:49:37.229:78293) : item=0 name=/var/log/messages flags=follow,open inode=53150921 dev=08:03 mode=file,640 ouid=root ogid=root rdev=00:00<BR>
type=CWD msg=audit(08/03/06 08:49:37.229:78293) :  cwd=/home/someuser<BR>
type=SYSCALL msg=audit(08/03/06 08:49:37.229:78293) : arch=x86_64 syscall=open success=no exit=-13(Permission denied) a0=7ffff362f541 a1=0 a2=1b6 a3=0 items=1 pid=6334 auid=unknown(4294967295) uid=someuser gid=users euid=someuser suid=someuser fsuid=someuser egid=users sgid=users fsgid=users comm=more exe=/bin/more<BR>
----<BR>
<BR>
but, I also get a lot of other garbage that I do not want.....such as all of the "exit=-2(No such file or directory)".<BR>
<BR>
I would like to....<BR>
<BR>
auditctl -a exit,always -S all -F exit=-13<BR>
<BR>
so I only get permission denied entries.  Auditctl allows me to create the rule, and it list the rule.  But nothing is logged, when I know it should be.<BR>
<BR>
I am running the 2.6.16.21 kernel (SUSE Enterprise Desktop 10) on AMD64 dual core machines.<BR>
<BR>
Lane<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: Klaus Weidner [<A HREF="mailto:klaus@atsec.com">mailto:klaus@atsec.com</A>]<BR>
Sent: Wed 8/2/2006 8:22 PM<BR>
To: Williams, P. Lane<BR>
Cc: linux-audit@redhat.com<BR>
Subject: Re: auditctl question<BR>
<BR>
On Wed, Aug 02, 2006 at 04:49:02PM -0400, Lane Williams wrote:<BR>
> Should the following work???<BR>
><BR>
> auditctl -a exit,always -S all -F exit=-13<BR>
><BR>
> When I use a negative value for exit, I get no output into the logs when<BR>
> I should.<BR>
> I am using audit-1.2.3 on SuSE Enterprise 10 with the 2.6.16.21 kernel.<BR>
<BR>
What do the audit records look like that you expect to be matching, and<BR>
what architecture are you running on? I recall a bug on ia64 where failed<BR>
system calls were being audited with "success=yes" and the positive errno,<BR>
and a patch to change that to negative errno to be consistent with other<BR>
architectures.<BR>
<BR>
Cf.:<BR>
<BR>
        <A HREF="https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=173500">https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=173500</A><BR>
<BR>
which claims to be fixed by:<BR>
<BR>
        <A HREF="http://rhn.redhat.com/errata/RHSA-2006-0132.html">http://rhn.redhat.com/errata/RHSA-2006-0132.html</A><BR>
<BR>
-Klaus<BR>
<BR>
</FONT>
</P>

</BODY>
</HTML>