<html><body>
<p><tt>linux-audit-bounces@redhat.com wrote on 08/09/2007 07:34:06 AM:<br>
</tt><br>
<tt>Hi Matt,</tt><br>
<tt><br>
> Questions relate to RHEL4 (unless they don't).<br>
> <br>
> What are the meanings of the following fields from the SYSCALL record:<br>
> * items</tt><br>
<tt>      </tt><tt>the number of path records in the event</tt><tt><br>
</tt><br>
<tt>> * fsuid</tt><br>
<tt>      Filesystem User ID</tt><br>
<tt><br>
> * fsgid</tt><br>
<tt>      Filesystem Group ID<br>
> <br>
> What are the meanings of the following fields from the PATH record:<br>
> * flags</tt><br>
<tt>      </tt><tt>file system namei flags</tt><br>
<tt> <br>
> * rdev</tt><br>
<tt>      device identifier<br>
> <br>
> How can I programmatically translate an architecture into human, eg<br>
> 40000003 => 'i686'?</tt><br>
<tt>When creating a rule with auditctl, you should be able to use either 'b32' or 'b64' for the architecture.</tt><br>
<tt>If you're trying to read the audit log, ausearch has an option "-i" that interprets numeric items into text.  I'm not sure how well it works with the arch fields, but might be worth a try.</tt><br>
<tt><br>
> <br>
> Is there a way of doing a syscall name lookup without having root?</tt><br>
<tt>Without root access, I'm not sure.  You could probably find the syscall table for your arch type online.</tt><br>
<tt><br>
> <br>
> In RHEL5, what's the equivalent of 'auditctl -t'?</tt><br>
<tt>Sorry I've forgotten what -t meant in auditctl.</tt><br>
<tt><br>
> <br>
> Is there any master documentation I've missed? I'm only aware of the man<br>
> pages.</tt><br>
<tt><a href="http://people.redhat.com/sgrubb/audit/">http://people.redhat.com/sgrubb/audit/</a></tt><br>
<br>
<tt>Hope that helps,</tt><br>
<tt>debora</tt><br>
<br>
<tt>----</tt><br>
<tt>Debora Velarde</tt><br>
<tt>Linux Security</tt><br>
<tt>IBM Linux Technology Center</tt><br>
</body></html>