<div dir="ltr"><div><div><div>Some security requirements include auditing events by users and root. So the line might include something like:<br>  <br></div>  -F auid=0 -F auid>=500 -F auid!=4294967295<br><br></div>My question is, if you don't include that phrase will the audit system still get everything and not incur a serious performance hit. Effectively it will audit everything for users 1-499, the usual system accounts.<br><br></div>Leam<br clear="all"><div><div><div><div><div><br>-- <br><div class="gmail_signature"><div><a href="http://leamhall.blogspot.com/" target="_blank">Mind on a Mission</a></div></div>
</div></div></div></div></div></div>