<div dir="ltr"><div><div><div><div>I am little confused by the relationship between audit rules. <br></div><br></div><div>I want to log all other users command history and read/write passwd except me (auid 16382)<br><br></div>
<div>However, it seems I have to add -F auid!=16382 on  both rules. <br></div><br></div>-a always,exit -F arch=b32 -S execve  -k EXEC_log<br></div> -w /etc/passwd           -p wr  -k identity_write<br><div><br>I tried to add following rules "before" the two rules above.<br>
-a never,exit -F auid=16382<br><br></div><div>However, it does not work at all. <br><br>So, the rules in audit rules seem independent from each other.  Am I right?<br></div><div><br></div></div>