<br><br><div class="gmail_quote">On Tue, Nov 8, 2011 at 3:17 PM, Eric Paris <span dir="ltr"><<a href="mailto:eparis@redhat.com">eparis@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div><div></div><div class="h5">On Tue, 2011-11-08 at 14:25 -0800, Peter Moody wrote:<br>
> Apologies if this is the wrong list:<br>
><br>
><br>
> Is it possible to filter on what shows up in the audit logs as the<br>
> ouid of an inode being accessed?<br>
><br>
><br>
> Alternatively, if I'm only interested in inodes of a particular ouid<br>
> (or more specifically, accesses to an inode of a particular ouid from<br>
> a process with a different uid), is my best bet doing post-audit<br>
> filtering?<br>
<br>
</div></div>I have some patches you are likely to see on this list this week which<br>
implement exactly both of these questions (I'm actually working on my<br>
audit tree right now, I'm about 27 patches deep and probably have a<br>
couple more to go).  Specifically one to allow audit on ouid and onto to<br>
allow audit on uid != ouid or uid == ouid.<br></blockquote><div><br></div><div>Out of curiosity, these are both kernel and userland patches, right?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<font color="#888888">
-Eric<br>
<br>
<br>
</font></blockquote></div><br>