<div dir="ltr">ALCON,<div><br></div><div>We have a Centos machine running Centos 6 and it uses mysql. When a standard user operates the system, our /var/log/messages gets filled up with around 2gb of audit data rather quickly. Here is the audit.</div>
<div><br></div><div>Dec  6 15:22:12 aaa-bbb audispd: node=aaa-bbb.ccc.ddd.eee type=SYSCALL msg=audit(1386361331.932:3572423): arch=c000003e syscall=142 success=no exit=-22 a0=1f46 a1=7f5e6357e290 a2=d3b6f8 a3=1f68 items=0 ppid=2518 pid=8006 auid=4294967295 uid=496 gid=492 euid=496 suid=496 fsuid=496 egid=492 sgid=492 fsgid=492 tty=(none) ses=4294967295 comm="mysqld" exe="/usr/libexec/mysqld" key=(null)</div>
<div><br></div><div>I have tried the following:</div><div><br></div><div>-a exit,never -F path=/usr/libexec/mysqld</div><div><br></div><div>When using "-F" I noticed in one RHEL forum someone used -F exe=</div><div>
<br></div><div>However in CENTOS exe is not a recognized field when using -F</div><div><br></div><div>We do not wish to audit this data, can someone please help me exclude the audit?</div><div><br></div><div>V/R<br clear="all">
<div><div dir="ltr"><p><span style="font-family:Garamond,serif">Derek Warner –
CISSP-ISSEP</span></p>

<p><span style="font-family:Garamond,serif">Information
System Security Engineer</span></p>

<p><span style="font-family:Garamond,serif">Riptide
Software</span></p>

<p><span style="font-family:Garamond,serif">w-
321-296-0068 x 136</span></p>

<p><span style="font-family:Garamond,serif">c-  407-716-9223</span></p>

<p><span style="font-family:Garamond,serif"><a href="mailto:derek.warner@riptidesoftware.com" target="_blank">derek.warner@riptidesoftware.com</a></span></p>

<p><span style="font-family:Garamond,serif"><a href="mailto:derek.a.warner@us.army.mil" target="_blank">derek.a.warner@us.army.mil</a> </span></p></div></div>
</div></div>