<p>Hello,</p>

<p> </p><p>I've compiled audit audit-2.0.4 on our linux from scratch version.<br></p><br><p></p>

<p>Heres is the log of the command date issued by the user
"system"  :<br></p>

<p> May 27 10:20:36 doma audispd: node=doma type=SYSCALL
msg=audit(1274948436.000:57884): arch=c000003e syscall=59 
success=yes exit=0
a0=6cf250 a1=6cf730 a2=6cf510 a3=0 items=2 ppid=26772 pid=27006 
auid=4294967295
uid=1000 gid=19 euid=1000 suid=1000 fsuid=1000 egid=19 sgid=19 fsgid=19
tty=tty1 comm="date" exe="/bin/date" key=(null)</p>

<p>May 27 10:20:36 doma audispd: node=doma type=EXECVE
msg=audit(1274948436.000:57884): a0="date"</p>

<p>May 27 10:20:36 doma audispd: node=doma type=PATH
msg=audit(1274948436.000:57884): item=0 name="/bin/date" 
inode=48341
dev=fd:60 mode=0100755 ouid=0 ogid=0 rdev=00:00</p>

<p>  <br></p>

<p>Here's the same report of the date command after the user
"system" changed its id using sudo su - :</p>

<p> </p>

<p>May 27 10:22:13 doma audispd: node=doma type=SYSCALL
msg=audit(1274948533.407:58095): arch=c000003e syscall=59 
success=yes exit=0
a0=6d4b20 a1=6d4ff0 a2=6d4de0 a3=0 items=2 ppid=27175 pid=27181 
auid=4294967295
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=tty1
comm="date" exe="/bin/date" key=(null)</p>

<p>May 27 10:22:13 doma audispd: node=doma type=EXECVE
msg=audit(1274948533.407:58095): a0="date"</p>

<p>May 27 10:22:13 doma audispd: node=doma type=PATH
msg=audit(1274948533.407:58095): item=0 name="/bin/date" 
inode=48341
dev=fd:60 mode=0100755 ouid=0 ogid=0 rdev=00:00</p>

<p> </p>

<p>1 ) Is there any bug with auid always set to  4294967295 ?<br></p>

<p> 2) I've also searched for logging commands specifics to a
TTY but it seems auditd cannot filter on one specific TTY. I've looking for auditctl -F options but I don't see any TTY filtering option. Is it possible ?<br></p>

<p> </p>Regards<br><br>JF Vincent<br>