<div dir="ltr"><div><div><div><div><div>Thanks. <br></div>I removed quiet from gruf.conf and I see from the output at boot. <br>I do see like <br></div>start audit [ok]<br><br></div>The problem is, cat /proc/self/loginuid is still 4294967295 if I login. <br>
<br></div>However, I do see lots of events the auid is 0.  I even see auid change reflect in the event. <br></div>Like <br>

<p class=""><span style="font-size:11pt;font-family:"Calibri","sans-serif"">type=LOGIN msg=audit(07/20/2013
17:45:01.502:40221) : login pid=4952 uid=root old auid=unset new auid=root</span></p><p class=""><span style="font-size:11pt;font-family:"Calibri","sans-serif"">So, I am really confused. <br> </span></p>
<p class=""><span style="font-size:11pt;font-family:"Calibri","sans-serif""> </span><span style></span></p>

<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jul 24, 2013 at 6:53 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tuesday, July 23, 2013 03:49:31 PM zhu xiuming wrote:<br>
> I read my audit logs.I always see lots of auid values are 4294967295. Even<br>
> when I delete a file, the value is still 4294967295?<br>
<br>
</div>In a normal system, there will be some events with 4294967295. These should be<br>
daemons and system events. Anything caused by a user should have the auid set<br>
to their uid. This is done by pam_loginuid.<br>
<div class="im"><br>
> I added pam_loginuid to  gdm, login, kdm, sshd, vsftpd. Howver, it is still<br>
> the same value?<br>
> I wonder what is wrong?<br>
<br>
</div>cat /proc/self/loginuid<br>
<br>
If that shows the account you logged in with, its working. If not, then<br>
something is wrong with pam or the kernel.<br>
<br>
-Steve<br>
<br>
--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</blockquote></div><br></div>