<div dir="ltr">Ah, I see.  I didn't get that it was sudo itself doing it (assuming it was linked to libaudit).  Yes, in 12.04, libaudit is not part of the base system.  I've tried it in a vagrant box under 16.04, ldd reports libaudit is linked, and it works fine there.<div><br></div><div>I think we'll just skip pam_tty_audit (since it records passwords on 12.04's kernel) and USER_CMD on our 12.04 boxes.</div><div><br></div><div>Thanks!</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 14, 2016 at 12:50 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thursday, July 14, 2016 12:44:02 PM EDT Chris Nandor wrote:<br>
> So how do I get it then?<br>
<br>
</span>You just run a command under sudo and it does it. There is a chance that your<br>
copy of sudo does not have auditing enabled. You can try using ldd to see if<br>
its linked to the audit libraries. If not, then its not supported.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
> I found a 9-year old mail from you about bash<br>
> --audit and aubash but that isn't working for me.<br>
> > On Jul 14, 2016, at 12:06, Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> wrote:<br>
> >> On Thursday, July 14, 2016 10:44:46 AM EDT Chris Nandor wrote:<br>
> >> Sorry, I guess I should have been more clear ... what sort of rule would<br>
> >> make it show up?  I'm not seeing it.<br>
> ><br>
> > Its hardwired. You don't need to add a rule. The rules that you add always<br>
> > result in SYSCALL events. You should also add a key to every rule as a<br>
> > reminder of what it means. So, any SYSCALL event that does not have a key<br>
> > is trigger by something else like a SELinux AVC.<br>
> ><br>
> > -Steve<br>
> ><br>
> >>> On Thu, Jul 14, 2016 at 10:37 AM, Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> wrote:<br>
> >>>> On Thursday, July 14, 2016 10:22:30 AM EDT Chris Nandor wrote:<br>
> >>>> How does one get USER_CMD records into the audit.log?<br>
> >>><br>
> >>> The sudo command is the usual way.<br>
> >>><br>
> >>> -Steve<br>
> >>><br>
> >>> --<br>
> >>> Linux-audit mailing list<br>
> >>> <a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
> >>> <a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
<br>
<br>
</div></div></blockquote></div><br></div>