<div dir="ltr">Glad to hear that it's working for you now. <div><br></div><div>Typically, the '-w <path/filename>' syntax is to watch system files for modification, not so much to audit the execution of the command (like for power events, as you're doing). The way I audit reboot commands (among others) is:</div><div><br>-a always,exit -F arch=b32 -S acct -S reboot -S sched_setparam -S sched_setscheduler -S setrlimit -S swapon -k reboot_sched_swap<br>-a always,exit -F arch=b64 -S acct -S reboot -S sched_setparam -S sched_setscheduler -S setrlimit -S swapon -k reboot_sched_swap</div><div>and</div><div>-w /var/run/utmp -p wa -k session<br><br>This might not be sufficient for your needs, but hopefully it's helpful. </div><div><br></div><div>Stephen</div><div><br><div class="gmail_quote"><div dir="ltr">On Mon, Jan 30, 2017 at 5:21 AM Damian Tykałowski <<a href="mailto:d47zm3@gmail.com">d47zm3@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><div class="gmail_msg">I found it out<br class="gmail_msg"></div>auditctl -l did not list rule as loaded, I checked logs of auditd deeper and found it stopped loading rules at some point due to duplicated rule, after sorting that out, it loaded all rules correctly, sorry for trouble<br class="gmail_msg"></div><div class="gmail_extra gmail_msg"><br class="gmail_msg"><div class="gmail_quote gmail_msg">On Sun, Jan 29, 2017 at 10:40 PM, Richard Guy Briggs <span dir="ltr" class="gmail_msg"><<a href="mailto:rgb@redhat.com" class="gmail_msg" target="_blank">rgb@redhat.com</a>></span> wrote:<br class="gmail_msg"><blockquote class="gmail_quote gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-01-28 13:16, Damian Tykałowski wrote:<br class="gmail_msg">
> Hi<br class="gmail_msg">
<br class="gmail_msg">
Hi Damian,<br class="gmail_msg">
<span class="gmail_msg"><br class="gmail_msg">
> I'm struggling to get proper auditing of usage of power commands, here's<br class="gmail_msg">
> what I've got in rules<br class="gmail_msg">
><br class="gmail_msg">
> [root@host01 ~]# cat /etc/audit/audit.rules | grep power<br class="gmail_msg">
> -w /sbin/shutdown -p rwx -k power<br class="gmail_msg">
> -w /sbin/poweroff -p rwx -k power<br class="gmail_msg">
> -w /sbin/reboot -p rwx -k power<br class="gmail_msg">
> -w /sbin/halt -p rwx -k power<br class="gmail_msg">
> -w shutdown -p rwx -k power<br class="gmail_msg">
> -w poweroff -p rwx -k power<br class="gmail_msg">
> -w reboot -p rwx -k power<br class="gmail_msg">
> -w halt -p rwx -k power<br class="gmail_msg">
><br class="gmail_msg">
> However despite full host reboot/refreshing rules I'm not getting events<br class="gmail_msg">
> with proper key "power"<br class="gmail_msg">
><br class="gmail_msg">
> [root@host01 ~]# cat /var/log/audit/audit.log | grep power<br class="gmail_msg">
> <empty><br class="gmail_msg">
><br class="gmail_msg">
> Events are logged though but without key<br class="gmail_msg">
><br class="gmail_msg">
> type=USER_CMD msg=audit(1485604576.755:679): pid=3490 uid=5004 auid=5004<br class="gmail_msg">
> ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023<br class="gmail_msg">
> msg='cwd="/home/user01" cmd="reboot" terminal=pts/0 res=success'<br class="gmail_msg">
><br class="gmail_msg">
> type=USER_CMD msg=audit(1485604729.923:658): pid=3428 uid=5004 auid=5004<br class="gmail_msg">
> ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023<br class="gmail_msg">
> msg='cwd="/home/user01" cmd="reboot" terminal=pts/0 res=success'<br class="gmail_msg">
><br class="gmail_msg">
</span>> Any idea what is wrong? Rules with other keys seems to work.<br class="gmail_msg">
<br class="gmail_msg">
I suspect you have another rule that is catching it first?<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
- RGB<br class="gmail_msg">
<br class="gmail_msg">
--<br class="gmail_msg">
Richard Guy Briggs <<a href="mailto:rgb@redhat.com" class="gmail_msg" target="_blank">rgb@redhat.com</a>><br class="gmail_msg">
Kernel Security Engineering, Base Operating Systems, Red Hat<br class="gmail_msg">
Remote, Ottawa, Canada<br class="gmail_msg">
Voice: <a href="tel:%2B1.647.777.2635" value="+16477772635" class="gmail_msg" target="_blank">+1.647.777.2635</a>, Internal: (81) 32635<br class="gmail_msg">
</blockquote></div><br class="gmail_msg"></div>
--<br class="gmail_msg">
Linux-audit mailing list<br class="gmail_msg">
<a href="mailto:Linux-audit@redhat.com" class="gmail_msg" target="_blank">Linux-audit@redhat.com</a><br class="gmail_msg">
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" class="gmail_msg" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a></blockquote></div></div></div>