my syslogd was disabled.<div>Also, after auditd restarting, those messages don't appear anymore.</div><div><br></div><div>I want to know if auditd ( and its child process: audispd) can monitor themselves killed or not.</div><div><br><br>On Monday, January 4, 2016, Richard Guy Briggs <<a href="mailto:rgb@redhat.com">rgb@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 16/01/04, Matthew Chao wrote:<br>
> Hi,<br>
><br>
> I added the following rules in audit.rules for monitoring auditd/audispd be<br>
> killed(audit ver: 1.8),<br>
> =============<br>
> -a exit,always -F perm=wa -F path=/var/run/auditd.pid -k cfg<br>
><br>
> -a exit,always -F perm=wa -F path=/var/run/audispd_events -k cfg<br>
><br>
> Or<br>
> -a exit,always -S kill -F path=/var/run/auditd.pid -k cfg<br>
><br>
> -a exit,always -S kill -F path=/var/run/audispd_events -k cfg<br>
> =============<br>
><br>
> However, these rules don't work: even the processes (auditd/audispd) are<br>
> killed, I can't get any related messages except DAEMON_END.<br>
<br>
Is that because auditd is no longer there to receive that message?  Did<br>
it show up in syslog or were you able to re-start auditd before the hold<br>
queue overflowed to be able to pick up those messages?<br>
<br>
<br>
- RGB<br>
<br>
--<br>
Richard Guy Briggs <<a href="javascript:;" onclick="_e(event, 'cvml', 'rbriggs@redhat.com')">rbriggs@redhat.com</a>><br>
Senior Software Engineer, Kernel Security, AMER ENG Base Operating Systems, Red Hat<br>
Remote, Ottawa, Canada<br>
Voice: +1.647.777.2635, Internal: (81) 32635, Alt: +1.613.693.0684x3545<br>
</blockquote></div>