<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.2.2">
</HEAD>
<BODY>
All,<BR>
<BR>
When rotating log files due a USR1 signal being sent, or for any other reason, does auditd finish writing all the<BR>
records that belong to the current event being written before starting the new log file?<BR>
<BR>
That is, will I find records belonging to a single event in two log files?<BR>
<BR>
If this is the case, would there be problems if auditd was changed to wait and 'flush' all an event's records before<BR>
rotating? One assumes auditd-event.c would need to be modified to be more event aware. Perhaps make use of AUDIT_EOE or<BR>
other means of identifying the end of an event or a single event.<BR>
<BR>
Thanks in advance<BR>
<BR>
Burn Alting
</BODY>
</HTML>