<div dir="ltr"><div>Thanks you so much for the quick response. I just want to send out this email. Because I use auditd -f to find out it was still the permission issue of audit.log. <br><br></div><div>What I wanted to do is let someone else able to read the audit.log other than root. Should I change the log_group setting ? It seems audit.log permission is 0600. Only root can read it.<br>
<br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 16, 2013 at 11:43 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Friday, August 16, 2013 11:38:32 AM zhu xiuming wrote:<br>
> HI<br>
> Suddently, my auditd can't start. I do not know why.<br>
> I remember I changed some permission settings on /var/log/audit. However,<br>
> even I change it back, the auditd cann't be started.<br>
><br>
> I looked at the audit.log. It only shows the daemon is closed successfully<br>
><br>
> I wonder whether there is other log file I should look.<br>
<br>
</div>Its writes failure messages to /var/log/messages.  I sometimes troubleshoot<br>
issues by starting the daemon by hand in the foreground mode so that<br>
everything is written to the screen. /sbin/auditd  -f<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
<br>
</font></span></blockquote></div><br></div>