<br>Hi Peter,<br><br>Currently i am tring to achive the same through below configuration on audit.rules file ...<br><br># Audit all execve calls<br>-a entry,always -S execve<br>-a entry,never<br>-a exclude,always -F msgtype=PATH<br>
-a exclude,always -F msgtype=CWD<br>-a exclude,always -F msgtype=CONFIG_CHANGE<br>-a exclude,always -F msgtype=CRED_DISP<br><br>But the problem on above rule is, it records all the SYSCALL and EXECV calls. Which increasing the log file size.<br>
<br>So my question is why normal users audit event logs cant be captured as a "type=USER_TTY" , where as root logs can be captured similarway.<br><br>Some logs for your reference:<br><br><br>type=EXECVE msg=audit(1350523801.169:137779): a0="/usr/lib/sa/sa1" a1="1" a2="1"<br>
<br>type=SYSCALL msg=audit(1350523801.169:137780): arch=40000003 syscall=11 success=yes exit=0 a0=86e0ec0 a1=86e08b8 a2=86e0ed8 a3=86e08b8 items=2 ppid=18623 pid=18624 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) comm="sadc" exe="/usr/lib/sa/sadc" subj=kernel key=(null)<br>
<br>type=EXECVE msg=audit(1350523801.169:137780): a0="/usr/lib/sa/sadc" a1="-F" a2="-L" a3="1" a4="1" a5="-"<br><br>type=USER_END msg=audit(1350523801.185:137781): user pid=18623 uid=0 auid=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'<br>
<br>type=USER_TTY msg=audit(1350524060.169:137782): user pid=18576 uid=0 auid=655 subj=kernel msg='cat /etc/audit/audit.rules '<br><br>type=SYSCALL msg=audit(1350524060.169:137783): arch=40000003 syscall=11 success=yes exit=0 a0=8cc4780 a1=8cc4838 a2=8cbd860 a3=0 items=2 ppid=18576 pid=18625 auid=655 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 comm="cat" exe="/bin/cat" subj=kernel key=(null)<br>
<br>type=EXECVE msg=audit(1350524060.169:137783): a0="cat" a1="/etc/audit/audit.rules"<br><br>type=USER_TTY msg=audit(1350524156.789:137784): user pid=18576 uid=0 auid=655 subj=kernel msg='tail -f /var/log/audit/audit.log'<br>
type=SYSCALL msg=audit(1350524156.789:137785): arch=40000003 syscall=11 success=yes exit=0 a0=8cc4810 a1=8cc47d0 a2=8cbd860 a3=0 items=2 ppid=18576 pid=18626 auid=655 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 comm="tail" exe="/usr/bin/tail" subj=kernel key=(null)<br>
<br>type=EXECVE msg=audit(1350524156.789:137785): a0="tail" a1="-f" a2="/var/log/audit/audit.log"<br><br>type=USER_END msg=audit(1350524172.558:137786): user pid=18249 uid=0 auid=1600 subj=kernel msg='PAM: session close acct="sysmon" : exe="/usr/sbin/sshd" (hostname=10.162.42.245, addr=10.162.42.245, terminal=ssh res=success)'<br>
<br>type=SYSCALL msg=audit(1350524176.426:137787): arch=40000003 syscall=11 success=yes exit=0 a0=81f102e8 a1=81f12a60 a2=81f10300 a3=4 items=2 ppid=1045 pid=18627 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) comm="sshd" exe="/usr/sbin/sshd" subj=kernel key=(null)<br>
<br>type=EXECVE msg=audit(1350524176.426:137787): a0="/usr/sbin/sshd" a1="-R"<br><br>type=USER_ACCT msg=audit(1350524176.642:137788): user pid=18627 uid=0 auid=4294967295 subj=kernel msg='PAM: accounting acct="sysmon" : exe="/usr/sbin/sshd" (hostname=10.162.42.245, addr=10.162.42.245, terminal=ssh res=success)'<br>
<br>type=CRED_ACQ msg=audit(1350524176.642:137789): user pid=18627 uid=0 auid=4294967295 subj=kernel msg='PAM: setcred acct="sysmon" : exe="/usr/sbin/sshd" (hostname=10.162.42.245, addr=10.162.42.245, terminal=ssh res=success)'<br>
<br>type=USER_START msg=audit(1350524176.642:137790): user pid=18627 uid=0 auid=1600 subj=kernel msg='PAM: session open acct="sysmon" : exe="/usr/sbin/sshd" (hostname=10.162.42.245, addr=10.162.42.245, terminal=ssh res=success)'<br>
<br>type=CRED_REFR msg=audit(1350524176.642:137791): user pid=18629 uid=0 auid=1600 subj=kernel msg='PAM: setcred acct="sysmon" : exe="/usr/sbin/sshd" (hostname=10.162.42.245, addr=10.162.42.245, terminal=ssh res=success)'<br>
<br><div class="gmail_quote">On Wed, Oct 17, 2012 at 8:07 PM, Peter Moody <span dir="ltr"><<a href="mailto:pmoody@google.com" target="_blank">pmoody@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<p dir="ltr">What rules are currently installed and what logs are you seeing?</p>
<div class="gmail_quote"><div><div class="h5">On Oct 17, 2012 5:59 AM, "Koresh..." <<a href="mailto:koreshkumar@gmail.com" target="_blank">koreshkumar@gmail.com</a>> wrote:<br type="attribution"></div></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
<br clear="all">Hi Team,<br><br>I have enabled the audit logs recently ... Currently the auditd daemon is logging all the event and syscalls done based on default rule set ...<br><br>But currently it only record the events done by the root user or by the sudo ...<br>


<br>Need your help to configure the same for Group wise ... so that i can track the group wise events done , rather then adding a rule for each individual users.<br><br><br>-- <br><div><br></div>

<div><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse">Thanks & Regards,</span></div><span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse"><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal">


<span style="font-family:'Times New Roman',serif"></span></p><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal"><span style="font-family:'Times New Roman',serif">- Koresh</span></p>


</span><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse"></span><br><br>
<br></div></div><span class="HOEnZb"><font color="#888888">--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com" target="_blank">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br></font></span></blockquote></div>
</blockquote></div><br><br clear="all"><br>-- <br><div><br></div>
<div><br></div>
<div><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse">Thanks & Regards,</span></div><span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse"><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal">
<span style="font-family:'Times New Roman',serif"></span></p><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal"><span style="font-family:'Times New Roman',serif">- Koresh</span></p>
</span><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse"></span><br><br>