<div dir="ltr"><div>Hello Steve!<br><br>OK, the last puzzle peace was loginuid=0 !! -.- <br></div><div><br></div><div>My current audit rules for the use-case "logging root user actions, without too much noise"<br></div><div></div><div></div><div>#<br></div><div></div><div># delete all rules<br></div><div>-D<br># set backlog_limit, default=320<br></div><div>-b 8192<br><br></div><div># do not audit cron jobs <br></div><div>-a user,never -F subj_type=crond_t<br></div><div>-a exit,never -F subj_type=crond_t<br><br></div><div># audit root actions from users switching to root<br></div><div>-a always,exit -F arch=x86_64 -S execve -F auid>=500 -F auid!=-1 -F uid=0 -k root-commands<br>-a always,exit -F arch=i386 -S execve -F auid>=500 -F auid!=-1 -F uid=0 -k root-commands<br><br></div><div># audit root actions with loginuid root<br></div><div>-a always,exit -F arch=x86_64 -S execve -F auid=0 -F uid=0 -k root-commands<br></div><div class="gmail_extra">-a always,exit -F arch=x86_64 -S execve -F auid=0 -F uid=0 -k root-commands<br></div><div class="gmail_extra">#EOF<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Thank you for the tips. I wonder how you manage doing all that great stuff and still be able to find time supporting people. Great job!<br><br></div><div class="gmail_extra"></div><div class="gmail_extra"></div><div class="gmail_extra">Best regards,<br></div><div class="gmail_extra">Orhan<br></div></div>