<div dir="ltr">Since we're new to auditd, there's no old utilities so far that we're using, so I don't see a problem there.  I think.</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 13, 2016 at 11:38 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wednesday, July 13, 2016 10:51:07 AM EDT Chris Nandor wrote:<br>
> The only reason I am even upgrading is because of the issues with<br>
> audisp-remote, the not-reconnecting, and the apparent client-side<br>
> buffering, that went away with 2.4.x and 2.6.x.  So if we decide to ship<br>
> logs a different way than with audisp-remote, then it might be best to<br>
> stick with 1.7.x.<br>
<br>
</span>This sounds a lot like the idle detection is not set right. In audisp-<br>
remote.conf there is a setting heartbeat_timeout. This should be set to<br>
something like 60 or 120. Then on the server in auditd.conf there is a setting<br>
tcp_client_max_idle which should be over twice as high as heartbeat_timeout.<br>
So, you'd set it to 180 or 300.<br>
<span class=""><br>
> That said, so far I see no issues, so we're going to forge ahead and see<br>
> what happens.  I just need to keep in mind what our mitigation plan would<br>
> be if we do run into issues.<br>
<br>
</span>Old utilities won't know what to do with enriched events. AFAICS, that would<br>
be the long term issue. You'll need to do aperl, awk, or cut command to trim<br>
off the unknown part of the event in your logs.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span></blockquote></div><br></div>