<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.18.3">
</HEAD>
<BODY>
<BLOCKQUOTE TYPE=CITE>
    <TT>The recent versions of the audit system ships with a stig.rules file that give </TT><BR>
    <TT>what I believe to be a correct rule set. What the official docs say to do is </TT><BR>
    <TT>another thing. :)  Take a look at that file and see how I do the unauthorized </TT><BR>
    <TT>file access.</TT><BR>
</BLOCKQUOTE>
<BR>
Excellent!  I had simply changed to the following, in a minimalistic approach:<BR>
<BR>
----------------------------------------------------<BR>
-w /etc/auditd.conf<BR>
-w /etc/audit.rules<BR>
-a exit,always -S open -F success=0<BR>
-a exit,always -S rmdir -S unlink -S chmod -S fchmod -S chown -S fchown -S lchown -F success!=0<BR>
-a exit,always -S settimeofday -S setrlimit -S setdomainname -S sched_setparam -S sched_setscheduler -S acct -S reboot -S swapon<BR>
-------------------------------------------------<BR>
<BR>
Was grouping by failed, successful, and both.  Did this due to reading that every audit rule is tested for every syscall, which...yeah, makes me want to group things.<BR>
<BR>
That being said, stig.rules is extensive; any warning on what the performance impact will be?<BR>
<BR>
Also, when looking for the newer builds on your site <A HREF="http://people.redhat.com/sgrubb/audit/">http://people.redhat.com/sgrubb/audit/</A> - I noticed "1.7 -> 1.8 Remote logging and finishing up IDS/IPS plugin."  That would be wonderously fabulous, and I look forward to it.   Any thoughts on whether it will be pulled into RHEL5, or whether I'd have to wait until RHEL6?<BR>
<BR>
Brian
</BODY>
</HTML>