<div dir="ltr"><div>Sorry, I failed to Reply-All on the first email thread too.<br><br></div>But it looks I might be onto something, yes?  (I will look for your reply in the other thread and make sure I Reply-All on it).<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div>
<br><div class="gmail_quote">On Fri, Jul 14, 2017 at 4:56 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Friday, July 14, 2017 4:48:11 PM EDT warron.french wrote:<br>
> Similar idea to the prior email:<br>
><br>
> I need to monitor local user account<br>
><br>
><br>
</span>> *creation, modification, deletion, suspension and locking.*<br>
<br>
These events are all hardwired too. The events that you are looking for are<br>
part of this specification:<br>
<br>
<a href="https://github.com/linux-audit/audit-documentation/wiki/SPEC-User-Account-Lifecycle-Events" rel="noreferrer" target="_blank">https://github.com/linux-<wbr>audit/audit-documentation/<wbr>wiki/SPEC-User-Account-<wbr>Lifecycle-Events</a><br>
<br>
As long as audit is enabled, you will get the events.<br>
<br>
-Steve<br>
<br>
> I know that I can monitor: */etc/passwd, /etc/group, /etc/shadow* and<br>
> */etc/gshadow*, but how do I monitor who modified wfrench inside<br>
> /etc/passwd?<br>
><br>
> Is:<br>
><br>
><br>
> *-w /etc/passwd  -k monitor_account_manipulations*<br>
<div class="HOEnZb"><div class="h5">> Good enough?<br>
><br>
> --------------------------<br>
> Warron French<br>
<br>
<br>
</div></div></blockquote></div><br></div>