<html><body>
<p>  My audit install script installs your rules file with the -e 2 uncommented so I will have to adjust the script to account for this.<br>
    Thanks Steve<br>
<br>
David Flatley CISSP<br>
<br>
<br>
<br>
<img width="16" height="16" src="cid:1__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt="Inactive hide details for Steve Grubb ---01/21/2010 04:50:38 PM---On Thursday 21 January 2010 04:29:04 pm David Flatley wrote: "><font color="#424282">Steve Grubb ---01/21/2010 04:50:38 PM---On Thursday 21 January 2010 04:29:04 pm David Flatley wrote: > Auditd fails to start due to -D in th</font><br>
<br>

<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">From:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">Steve Grubb <sgrubb@redhat.com></font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">To:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">linux-audit@redhat.com</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Cc:</font></td><td width="100%" valign="middle"><img width="1" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">David Flatley/Burlington/IBM@IBMUS</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Date:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">01/21/2010 04:50 PM</font></td></tr>

<tr valign="top"><td width="1%"><img width="96" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2" color="#5F5F5F">Subject:</font></td><td width="100%"><img width="1" height="1" src="cid:2__=0ABBFC20DFD827258f9e8a93df938@us.ibm.com" border="0" alt=""><br>
<font size="2">Re: How to learn the Message type?</font></td></tr>
</table>
<hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br>
<br>
<br>
<tt>On Thursday 21 January 2010 04:29:04 pm David Flatley wrote:<br>
> Auditd fails to start due to -D in the /etc/audit/audit.rules file on<br>
> two of my RHEL 5.3 systems.<br>
> I am using Steve Grubb's STIG audit.rules file. Did I miss something with<br>
> 5.3??<br>
<br>
The very last command in that file puts the audit system in immutable mode - <br>
meaning you cannot change the rules without rebooting. Comment out that line <br>
if you want to let any changes into the audit system at any time.<br>
<br>
-Steve<br>
</tt><br>
<br>
</body></html>