<div dir="ltr">Hi folks,<div><br></div><n00b alert><br><br>I have auditing for outbound connect requests working using the Connect (sys_connect) syscall on a server running <u>Ubuntu precise 12.04 LTS</u>.<br><br>The rule I'm using is:<br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">-a exit,always -F arch=b64 -S connect -k network_outbound</blockquote><br><br>I'm getting a substantial amount of saddr=0100.... logs, which I understand are not  connections to a remote host but rather a local AF_UNIX socket pointing to a file. Example log message is:<div>  <div><div><p style="margin:0px;font-size:11px;font-family:Menlo"><br></p><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">type=SYSCALL msg=audit(1423002916.796:24545371): arch=c000003e syscall=42 success=no exit=-2 a0=294 a1=7fff97f62680 a2=6e a3=7fff97f62860 items=0 ppid=20546 pid=21439 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key="network_outbound" </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">type=SOCKADDR msg=audit(1423002916.796:24545371): <span style="color:rgb(195,55,32)"><b>saddr=0100</b></span><truncated to remove the hex-encoded file path></blockquote><div><br></div><div>Is there an easy way to filter these out so that we only have saddr=0200... messages left? </div><div><br></div><div>I'm exporting the log to an external syslog server and it would help considerably if I could eliminate this from all of our servers.</div><div><br></div><div>I see that auditctl has a <u>filetype</u> filter which can be set to filter <i>socket</i> or <i>file</i> types. Is that the right way to filter these messages?</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">-a exit,always -F arch=b64 -F filetype=socket -S connect -k network_outbound</blockquote><div><br></div><div>The above rule filters out everything but the af_unix connect syscalls, which is the opposite of what I'm looking for.</div><div><br></div><div>Any help would be appreciated.</div><div><br></div><div>Thanks,</div><div>Farhan</div><div> </div><p style="margin:0px;font-size:11px;font-family:Menlo">
</p></div></div></div></div>