<div dir="ltr"><div><div><div><div><div><div><div><div>Yes, certainly.<br><br></div>I had a 1.7GB messages file in /var/log; so I moved it manually out of the way.  Then I rebooted.<br><br></div>After doing that, I didn't see anything at all about auditd in the new /var/log/messages.<br><br></div>I have finally gotten it down to 13 audit rules, all still Action Rules only for some reason, that are not loading into memory from /etc/audit/audit.rules.<br></div>Those action rules are using -F path= attributes.<br><br></div>What is really interesting is that I have other action rules using -F path= that are getting into memory!<br><br></div>These are the files that are not:<br><span style="color:rgb(255,0,0)">/usr/libexec/kde4/kdesud<br>/usr/libexec/openssh/ssh-keysign<br>/usr/libexec/polkit-1/polkit-agent-helper-1<br>/usr/libexec/pt_chown<br>/usr/libexec/utempter/utempter<br>/usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper<br>/usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper<br>/usr/sbin/lockdev<br>/usr/sbin/postdrop<br>/usr/sbin/postqueue<br>/usr/sbin/suexec<br>/usr/sbin/userhelper<br>/usr/sbin/usernetctl</span><br><br></div>I did the following to evaluate---<br>for FIL in `cat audit_action_rules_File | grep -v "^#" | awk '{ print $4 }' | cut -d= -f 2`; do<br>   echo "Checking for ${FIL}."<br>   if [ -f ${FIL} ]; then<br>      echo "${FIL} is present."<br>   else<br>      echo "The file ${FIL} is not present."<br>   fi<br>done<br><br>Checking for /usr/libexec/kde4/kdesud.<br><b><span style="color:rgb(255,0,255)">The file /usr/libexec/kde4/kdesud is not present.</span></b><br>Checking for /usr/libexec/openssh/ssh-keysign.<br><span style="background-color:rgb(0,255,0)">/usr/libexec/openssh/ssh-keysign is present.</span><br>Checking for /usr/libexec/polkit-1/polkit-agent-helper-1.<br><span style="background-color:rgb(0,255,0)">/usr/libexec/polkit-1/polkit-agent-helper-1 is present.</span><br>Checking for /usr/li<span style="background-color:rgb(0,255,0)"><span style=""></span></span>bexec/pt_chown.<br><span style="background-color:rgb(0,255,0)">/usr/libexec/pt_chown is present.</span><br>Checking for /usr/libexec/utempter/utempter.<br><span style="background-color:rgb(0,255,0)">/usr/libexec/utempter/utempter is present.</span><br>Checking for /usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper.<br><b><span style="color:rgb(255,0,255)">The file /usr/lib/vmware-tools/bin32/vmware-user-suid-wrapper is not present.</span></b><br>Checking for /usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper.<br><span style="color:rgb(255,0,255)"><b>The file /usr/lib/vmware-tools/bin64/vmware-user-suid-wrapper is not present.</b></span><br>Checking for /usr/sbin/lockdev.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/lockdev is present.</span><br>Checking for /usr/sbin/postdrop.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/postdrop is present.</span><br>Checking for /usr/sbin/postqueue.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/postqueue is present.</span><br>Checking for /usr/sbin/suexec.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/suexec is present.</span><br>Checking for /usr/sbin/userhelper.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/userhelper is present.</span><br>Checking for /usr/sbin/usernetctl.<br><span style="background-color:rgb(0,255,0)">/usr/sbin/usernetctl is present.</span><br><br></div>I am still missing all 15 Watch rules in memory.<br><div><div><div><br></div></div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div>
<br><div class="gmail_quote">On Wed, Apr 12, 2017 at 2:05 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wednesday, April 12, 2017 1:40:51 PM EDT warron.french wrote:<br>
> Didn't know to check there.<br>
<br>
</span>Shouldn't we keep the discussion on the mail list so others can learn from it?<br>
<br>
-Steve<br>
<span class=""><br>
> Also, I noticed something interesting after tracing through rules I<br>
> captured from audit.rules (and sorting) and capturing rules from auditctl<br>
> (also sorting).<br>
><br>
> Here are some things I observed:<br>
><br>
</span>>    1.  -a  -F path= <path/to/file> are not getting loaded at all.<br>
>    2. -a -S call1 -S call2 -S call3 -S callN are being altered into a<br>
<div class="HOEnZb"><div class="h5">>    relative format  of   -a -S call1,call2,call3,callN       (I was not<br>
>    expecting this at all).<br>
><br>
> I will look at the syslog output from auditctl in /var/log/messages<br>
> (correct?).<br>
><br>
><br>
><br>
> --------------------------<br>
> Warron French<br>
><br>
> On Wed, Apr 12, 2017 at 1:22 PM, Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> wrote:<br>
> > On Wednesday, April 12, 2017 12:51:03 PM EDT warron.french wrote:<br>
> > > Hello, I am writing a Puppet Module to deliver updates of audit.rules<br>
> > > and<br>
> > > auditd.conf configurations to RHEL6 and RHEL7 machines.<br>
> > ><br>
> > > The files are laid down correctly for both RHEL6 and RHEL7 within the<br>
> > ><br>
> > > appropriate directories:<br>
> > >    - RHEL6 = /etc/audit/audit.rules, for<br>
> > >    - RHEL7 = /etc/audit/rules.d/audit.rules<br>
> > ><br>
> > > Anyway, the results for all RHEL7 machines (client versus Server) are<br>
> > > perfect.  The audit.rules are all laid down as expected, and after a<br>
> ><br>
> > reboot<br>
> ><br>
> > > of the system the rules are all 100% in place - just as I need.<br>
> > ><br>
> > > The problem is when they are laid down on RHEL6 clients versus Servers,<br>
> ><br>
> > the<br>
> ><br>
> > > behaviors are very different.<br>
> > ><br>
> > > For RHEL6 clients I have the following intentions and loaded into<br>
> > > memory:<br>
> > ><br>
> > > 118 (-a) Action Rules in audit.rules file        118 Action Rules are<br>
> > > loaded into memory (YAY!)<br>
> > ><br>
> > > * 15 (-w) Watch Rules* in audit.rules file       *  15 Watch Rules are<br>
> > > loaded into memory* (YAY!)<br>
> > ><br>
> > > 133 Total Rules in audit.rules files              133 Total Rules into<br>
> > > memory (YAY!)<br>
> > ><br>
> > ><br>
> > > For RHEL6 Server; however, I have the following results:<br>
> > ><br>
> > > 118 (-a) Action Rules in audit.rules file    105 Action Rules are loaded<br>
> > > into memory (FAIL)<br>
> > ><br>
> > > * 15 (-w) Watch Rules* in audit.rules file    *   0  Watch Rules are<br>
> ><br>
> > loaded<br>
> ><br>
> > > into memory* (HUGE FAIL)<br>
> > ><br>
> > > 133 Total Rules in audit.rules files           105 Total Rules into<br>
> ><br>
> > memory<br>
> ><br>
> > > (YAY!)<br>
> > ><br>
> > ><br>
> > > This is really a big problem for me.  Can someone help?<br>
> ><br>
> > Was there anything in syslog from auditctl?<br>
> ><br>
> > When auditctl runs across a rule with syntax errors, the default action is<br>
> > to<br>
> > log it and stop. This way it causes the most noticeable thing to happen.<br>
> > However, some people don't like this behavior so they pass a '-c' option<br>
> > near<br>
> > the beginning of the rules. This causes it to keep processing but<br>
> > ultimately<br>
> > return an error at exit. Some people didn't like that auditctl returned an<br>
> > error, so the '-i' option was created for people that can't be bothered<br>
> > with<br>
> > failure even in the face of failure.<br>
> ><br>
> > Check for a syntax error in the rules. It should be in syslog.<br>
> ><br>
> > -Steve<br>
<br>
<br>
</div></div></blockquote></div><br></div>