<html><body>
<p><tt>>> Because I was getting errors restarting the auditd on some of their<br>
>> recommendations one of which was mount?<br>
<br>
>Yes, that is correct. Mount is syscall 165 on x86_64 and 21 on i386.<br>
</tt>-a exit,always -S mount     fails on auditd restart<br>
<br>
<tt>>>   I would like to be able to do the audit log extractions (ausearch and<br>
>> aureport) when I get say 8 - 20 megs logs. I see I can do an exec on a<br>
>> script in max_log_file_action.<br>
>> So if I set the max_log_file to 160, I can then run a script to move the<br>
>> rotated logs and process them, thus not stopping auditd and keeping things<br>
>> working?<br>
<br>
>Yes, I think so. But if you are hooking max_log_file action, then you would <br>
>need to send sigusr1 to ppid to get auditd to rotate the log and open another <br>
>one. If you don't, auditd will still have an open descriptor to the file.</tt><br>
<br>
<tt>I am in error, I meant space_left_action because there is an exec for this.</tt><br>
<tt>I was going to do the "service auditd rotate" then move all the audit.log.* to</tt><br>
<tt>another directory so that ausearch -i and aureport -i could run on the logs. </tt><br>
<tt>The core for me is to keep audit running while dealing with log generation.</tt><br>
<tt>Our regression test can generate 8 20 meg rotated logs in an hour. So if I can</tt><br>
<tt>get audit to kick off the extraction script at certain points then that would</tt><br>
<tt>fix my situation.</tt><br>
<br>
<tt>   Thanks.</tt><br>
<br>
David Flatley CISSP<br>
<br>
<br>
<br>
<br>
<img width="16" height="16" src="cid:1__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt="Inactive hide details for Steve Grubb ---08/17/2009 11:08:40 AM---On Monday 17 August 2009 10:49:55 am David Flatley wrote: >  "><font color="#424282">Steve Grubb ---08/17/2009 11:08:40 AM---On Monday 17 August 2009 10:49:55 am David Flatley wrote: >  If I were to move all the rotated logs</font><br>
<br>

<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">From:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">Steve Grubb <sgrubb@redhat.com></font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">To:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">David Flatley/Burlington/IBM@IBMUS</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Cc:</font></td><td width="100%" valign="middle"><img width="1" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">linux-audit@redhat.com</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Date:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">08/17/2009 11:08 AM</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Subject:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC86DFCAEAF98f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">Re: buffer space</font></td></tr>
</table>
<hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br>
<br>
<br>
<tt>On Monday 17 August 2009 10:49:55 am David Flatley wrote:<br>
>  If I were to move all the rotated logs to another directory,<br>
> say /home/logs. So instead of doing "ausearch -i" to capture all the<br>
> information in the rotated logs in<br>
> /var/log/audit directory. I would do "ausearch -i -f /home/logs" , correct?<br>
<br>
Yes.<br>
<br>
> Backlog is set to 12288 right now.<br>
<br>
ok<br>
<br>
>  The SECSCAN requires many -w (watches) and a fair amount of syscalls. I<br>
> modified the syscalls to add your recommendation for using "arch=b32" and<br>
> "arch=b64".<br>
<br>
Are there any public references to this standard?<br>
<br>
<br>
> Because I was getting errors restarting the auditd on some of their<br>
> recommendations one of which was mount?<br>
<br>
Yes, that is correct. Mount is syscall 165 on x86_64 and 21 on i386.<br>
<br>
<br>
>  Another setting I believe was doing me in was the log size is 20 megs and<br>
> I allow 8 rotated logs. But I had admin_disk_full set to 160 and the action<br>
> was suspend.<br>
> So this could have been tripping me up also.<br>
<br>
If the partition was 320Mb or smaller, then yes that would be a problem. But I <br>
also think the fact that its being suspended is sent to syslog.<br>
<br>
<br>
>   I would like to be able to do the audit log extractions (ausearch and<br>
> aureport) when I get say 8 - 20 megs logs. I see I can do an exec on a<br>
> script in max_log_file_action.<br>
> So if I set the max_log_file to 160, I can then run a script to move the<br>
> rotated logs and process them, thus not stopping auditd and keeping things<br>
> working?<br>
<br>
Yes, I think so. But if you are hooking max_log_file action, then you would <br>
need to send sigusr1 to ppid to get auditd to rotate the log and open another <br>
one. If you don't, auditd will still have an open descriptor to the file.<br>
<br>
-Steve<br>
</tt><br>
<br>
</body></html>