<div dir="ltr">Ah, thanks.  I had only recently added -k rootcmd so I didn't notice it was different earlier ... but I should've noticed this time.  Thanks!</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 13, 2016 at 9:39 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wednesday, July 13, 2016 9:27:25 AM EDT Chris Nandor wrote:<br>
> As mentioned in previous e-mail, we want to log what users do as root.  I<br>
> have these two rules, only:<br>
><br>
> -a exit,always -F arch=b32 -F euid=0 -F auid>=0 -F auid!=4294967295 -S<br>
> execve -k rootcmd<br>
> -a exit,always -F arch=b64 -F euid=0 -F auid>=0 -F auid!=4294967295 -S<br>
> execve -k rootcmd<br>
><br>
> But this line shows up:<br>
><br>
> node=<a href="http://grax.sea.marchex.com" rel="noreferrer" target="_blank">grax.sea.marchex.com</a> type=ANOM_ABEND<br>
> msg=audit(1468426871.752:3282575): auid=811 uid=811 gid=811 ses=12<br>
> pid=18504 comm="chromium-browse" reason="seccomp" sig=0 syscall=91 compat=0<br>
> ip=0x7f296c759c77 code=0x50001<br>
<br>
</span>There are two kinds of events. There are the ones that are triggered by the<br>
rules you load, and there are rules that are hardwired to be logged because<br>
something significant happened. In this case the seccomp filter killed<br>
chromium-browse because it violated policy. It has nothing to do with your<br>
rules which have a rootcmd key.<br>
<br>
To find the events triggered by your rule, use:<br>
ausearch --start today -k rootcmd -i<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
> My guess is that it is because euid is missing; maybe euid=0 is true if<br>
> euid is null?  I could put uid=0, instead of euid ... but that isn't<br>
> exactly what I want, I think.  Is there a way to have the rule require euid<br>
> actually be 0?<br>
><br>
> --Chris<br>
<br>
<br>
</div></div></blockquote></div><br></div>