when i am using auid>=500 in quote like u have told 
-a always,exit -F arch=b64  -S chmod -S fchmod -S fchmodat -F<br><div class="im">'auid>=500' -F auid!=4294967295 -k perm_mod</div><div class="im"><br></div><div class="im">it is giving error :</div><div class="im">

<div class="im">#service auditd restart</div><div class="im">Stopping auditd:                                           [  OK  ]</div><div class="im">Starting auditd:                                           [  OK  ]</div>

<div class="im">-F unknown field: "auid</div><div class="im">There was an error in line 102 of /etc/audit/audit.rules</div><div><br></div></div><div class="im"><br></div><br><div class="gmail_quote">On Sat, Jan 14, 2012 at 1:34 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Thursday, January 12, 2012 11:52:29 PM bharat gupta wrote:<br>
> I am using redhat 6, and trying to create logs for some system call using<br>
> the rule given below:<br>
><br>
</div>> *-a always,exit -F arch=b64  -S chmod -S fchmod -S fchmodat -F auid>=500<br>
>  -F auid!=4294967295 -k perm_mod*<br>
<br>
The rule works for me.<br>
<br>
# auditctl -a always,exit -F arch=b64  -S chmod -S fchmod -S fchmodat -F<br>
<div class="im">'auid>=500' -F auid!=4294967295 -k perm_mod<br>
<br>
</div>I don't have any asterisk and I have single quote marks since bash will<br>
interpret the > as a redirection. But then doing a chmod command, it does pick<br>
up the fchmodat() syscall.<br>
<div class="im"><br>
<br>
> After running command chmod i was not able to get any log, but when i used<br>
> strace command i have seen that syscall have been called.<br>
> I also checked that auditd service is running properly.<br>
<br>
</div>When you use auditctl -l, is the rule just like you expected?<br>
<br>
LIST_RULES: exit,always arch=3221225534 (0xc000003e) auid>=500 (0x1f4) auid!=-1<br>
(0xffffffff) key=perm_mod syscall=chmod,fchmod,fchmodat<br>
<br>
It should just work unless you are on a distribution that does not really<br>
support auditing.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Bharat Gupta </div><span style="color:rgb(0,0,0)">IIT -Roorkee</span><br style="color:rgb(0,0,0)"><br><br>