<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="FR" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">With Rhel 7.4 just out, I am giving a try at the new audit.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Something seems strange to me.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">With the default log_format = RAW in auditd.conf, I get the node= parameter right in rsyslog (through the syslog plugin).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">If I switch to log_format = ENRICHED the parameter is missing altogether (no node=)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">In both case local there is no node parameter in the local audit.log.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When I run ausearch --format text  from the  local host I never get node information.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When I run it from the data received by rsyslog (after stripping the prefix with sed 's/^.*audispd://'), I get the node information for the RAW format only.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Another point that bothers me is that I got an extra line did-unknown after each meaningful line when I use the remote content (RAW or ENRICHED)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">This is what I get locally <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 16:03:55 07/08/17 fr18358, acting as root, successfully executed /bin/pkg-config
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 16:03:55 07/08/17 fr18358, acting as root, successfully executed /usr/libexec/grepconf.sh
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 16:03:55 07/08/17 fr18358, acting as root, successfully opened-file /dev/tty using grepconf.sh<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 16:03:55 07/08/17 fr18358, acting as root, successfully executed /bin/grep<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">This is what I get from remote data<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17 fr18358, acting as root, successfully executed /bin/pkg-config
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17  did-unknown <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17 fr18358, acting as root, successfully executed /usr/libexec/grepconf.sh
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17  did-unknown <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17 fr18358, acting as root, successfully opened-file /dev/tty using grepconf.sh<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17  did-unknown <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">At 15:43:52 07/08/17 fr18358, acting as root, successfully executed /bin/grep<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Please tell me what I am doing wrong.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Philippe<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<br>
<font face="Verdana" color="Black" size="1">!!!*************************************************************************************<br>
"Ce message et les pièces jointes sont confidentiels et réservés à l'usage exclusif de ses destinataires. Il peut également être protégé par le secret professionnel. Si vous recevez ce message par erreur, merci d'en avertir immédiatement l'expéditeur et de
 le détruire. L'intégrité du message ne pouvant être assurée sur Internet, la responsabilité de Worldline ne pourra être recherchée quant au contenu de ce message. Bien que les meilleurs efforts soient faits pour maintenir cette transmission exempte de tout
 virus, l'expéditeur ne donne aucune garantie à cet égard et sa responsabilité ne saurait être recherchée pour tout dommage résultant d'un virus transmis.<br>
<br>
This e-mail and the documents attached are confidential and intended solely for the addressee; it may also be privileged. If you receive this e-mail in error, please notify the sender immediately and destroy it. As its integrity cannot be secured on the Internet,
 the Worldline liability cannot be triggered for the message content. Although the sender endeavours to maintain a computer virus-free network, the sender does not warrant that this transmission is virus-free and will not be liable for any damages resulting
 from any virus transmitted.!!!"<br>
</font>
</body>
</html>