<div dir="ltr">Sorry, I should have mentioned that I already tried that. That results in no logs being generated for that rule.<div><br></div><div>Thanks,</div><div>Farhan </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 3, 2015 at 6:21 PM, Peter Moody <span dir="ltr"><<a href="mailto:pmoody@google.com" target="_blank">pmoody@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
On Tue, Feb 03 2015 at 14:57, F Rafi wrote:<br>
> Hi folks,<br>
><br>
> <n00b alert><br>
><br>
> I have auditing for outbound connect requests working using the Connect<br>
</span>> (sys_connect) syscall on a server running *Ubuntu precise 12.04 LTS*.<br>
<span class="">><br>
> The rule I'm using is:<br>
><br>
> -a exit,always -F arch=b64 -S connect -k network_outbound<br>
><br>
><br>
><br>
> I'm getting a substantial amount of saddr=0100.... logs, which I understand<br>
> are not  connections to a remote host but rather a local AF_UNIX socket<br>
> pointing to a file. Example log message is:<br>
><br>
><br>
><br>
> type=SYSCALL msg=audit(1423002916.796:24545371): arch=c000003e syscall=42<br>
>> success=no exit=-2 a0=294 a1=7fff97f62680 a2=6e a3=7fff97f62860 items=0<br>
>> ppid=20546 pid=21439 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33<br>
>> egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2"<br>
>> exe="/usr/lib/apache2/mpm-prefork/apache2" key="network_outbound"<br>
><br>
</span>> type=SOCKADDR msg=audit(1423002916.796:24545371): *saddr=0100*<truncated to<br>
<span class="">>> remove the hex-encoded file path><br>
><br>
><br>
> Is there an easy way to filter these out so that we only have saddr=0200...<br>
> messages left?<br>
><br>
> I'm exporting the log to an external syslog server and it would help<br>
> considerably if I could eliminate this from all of our servers.<br>
><br>
</span>> I see that auditctl has a *filetype* filter which can be set to filter<br>
> *socket* or *file* types. Is that the right way to filter these messages?<br>
<span class="">><br>
> -a exit,always -F arch=b64 -F filetype=socket -S connect -k network_outbound<br>
<br>
</span>does -F filetype!=socket work?<br>
<div class="HOEnZb"><div class="h5"><br>
> The above rule filters out everything but the af_unix connect syscalls,<br>
> which is the opposite of what I'm looking for.<br>
><br>
> Any help would be appreciated.<br>
><br>
> Thanks,<br>
> Farhan<br>
</div></div><span class="HOEnZb"><font color="#888888">> --<br>
> Linux-audit mailing list<br>
> <a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</font></span></blockquote></div><br></div>