<br>So if i am correct, there is no way we can get the normal user activity through auditd daemon ...<br><br>Or , please suggest the best way to capture the activity logs for normal users ....<br><br><br><div class="gmail_quote">
On Thu, Oct 18, 2012 at 4:59 PM, Miloslav Trmac <span dir="ltr"><<a href="mailto:mitr@redhat.com" target="_blank">mitr@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
----- Original Message -----<br>
> So my question is why normal users audit event logs cant be captured<br>
> as a "type=USER_TTY" , where as root logs can be captured<br>
> similarway.<br>
USER_TTY is sent by the process that accepts the keyboard input.  Unprivileged users are not allowed to send audit records (otherwise they would be able to fill the queue and/or the log partition, causing a DoS), so the USER_TTY record is discarded.<br>

<br>
Even for unprivileged users you should have the type=TTY records, although they are noticeably more difficult to interpret.<br>
   Mirek<br>
</blockquote></div><br><br clear="all"><br>-- <br><div><br></div>
<div><br></div>
<div><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse">Thanks & Regards,</span></div><span style="font-family:arial,sans-serif;font-size:13px;border-collapse:collapse"><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal">
<span style="font-family:'Times New Roman',serif"></span></p><p style="margin-top:0in;margin-right:0in;margin-bottom:0pt;margin-left:0in;line-height:normal"><span style="font-family:'Times New Roman',serif">- Koresh</span></p>
</span><span style="font-family:'Times New Roman',serif;font-size:13px;border-collapse:collapse"></span><br><br>