<div dir="ltr">Steve,<div style>Thanks for the prompt reply.</div><div style><br></div><div style>For anyone else who may find this useful, the files were served over NFS using automount. When the mounts are dropped, the rules get deleted.</div>
<div style><br></div><div style>Cheers</div><div style><br></div><div style>John</div><div style><br></div><div style><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, May 20, 2013 at 2:58 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Monday, May 20, 2013 11:04:30 AM John Barnes wrote:<br>
> I set up 4 simple audit rules using audictl:<br>
><br>
> auditctl -w "/path/to/my/bin0" -p x<br>
> auditctl -w "/path/to/my/bin1" -p x<br>
><br>
> The rules were applied and show in auditctl -l. I tested them and<br>
> they successfully log the execution of both binaries.<br>
><br>
> However the rules were mysteriously flushed with only<br>
> the following available in ausearch -m CONFIG_CHANGE:<br>
><br>
> time->Sat May 18 00:03:19 2013<br>
><br>
> type=CONFIG_CHANGE msg=audit(1368831799.081:466947): auid=4294967295<br>
> ses=4294967295 op="remove rule" path="/path/to/my/bin0" key=(null) list=4<br>
> res=1<br>
><br>
> time->Sat May 18 00:03:19 2013<br>
><br>
> type=CONFIG_CHANGE msg=audit(1368831799.081:466948): auid=4294967295<br>
> ses=4294967295 op="remove rule" path="/path/to/my/bin1" key=(null) list=4<br>
> res=1<br>
><br>
> The uid doesn't match any known user so I presume these are initiated by<br>
> the kernel.<br>
<br>
</div>Yes, these are -1, which is unset. This event is created by the kernel.<br>
<div class="im"><br>
<br>
> The system wasn't under any pressure at the time (mem/load<br>
> average fine), there was plenty of disk space available in all volumes, and<br>
> the auditd was not restarted and the logs were not rotated.<br>
><br>
> Is there anything that can cause the rules to be flushed in this way? It's<br>
> a little concerning that they've just disappeared.<br>
<br>
</div>I think if your file is deleted, then it removes the associated rule.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span></blockquote></div><br></div>