<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">Hi Steve / List </div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">Now, I have built auditd from source as per the mail thread and then also created a startup script.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">The auditd is starting successfully. </div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">The client is able to connect to the aggregating server. </div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><i><font color="#20124d" face="verdana, sans-serif">node=guslogs type=DAEMON_ACCEPT msg=audit(1507125123.240:7272): addr=192.168.103.2 port=60 res=success</font><br></i></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif"><br></font></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)">I have made the necessary change in the server in /etc/audit/auditd.conf</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(32,18,77)"><br></div><div class="gmail_default"><i><font color="#20124d" face="verdana, sans-serif">log_format = NOLOG</font><br></i></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif">I do not see any logs being populated - I checked log file on client, the server - also the /var/spool/audit/remote.log on the client.</font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif">On the server side /var/spool/audit/remote.log is empty (I am not sure if this is something I should be checking at all)</font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif">I am clueless as to what is happening. Is there some way to debug this? Where are these logs getting lost?</font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif">When change the log_format back to RAW I do see the logs getting created on the client. </font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font color="#20124d" face="verdana, sans-serif">I did my best reading on net and debugging this - but no success. Please help. </font></div><div class="gmail_default"><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Oct 4, 2017 at 1:52 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On Tuesday, October 3, 2017 4:00:27 PM EDT Rituraj Buddhisagar wrote:<br>
> Steve,<br>
><br>
> Here is the relevant discussion on disabling the tcp listener on Ubuntu.<br>
> <a href="https://www.redhat.com/archives/linux-audit/2012-September/msg00027.html" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>archives/linux-audit/2012-<wbr>September/msg00027.html</a><br>
><br>
> I do not know what exactly caused change - but now I think it should be<br>
> enabled in distributions.<br>
><br>
> Please let me know.<br>
><br>
> Btw, I got auditd running (by setting LD_LIBRARY_PATH variable) from source<br>
> now. Still audispd is not started now - what is the way / sequence to start<br>
> auditd and audispd - if you can point me to some reference or a startup<br>
> script will help.<br>
<br>
</span>Since you installed in a non-standard location, you probably need to adjust<br>
paths in the config files.<br>
<br>
What I would recommend is not to build and install by hand, but to use their<br>
package manager to build a new package with listening enabled. The ./configure<br>
script takes a --disable-listener parameter. So, its probably as simple as<br>
deleting that in the source package and rebuilding.<br>
<br>
That said, I have no idea how to build a package on Debian or Ubuntu.<br>
<span class="gmail-HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span></blockquote></div><br></div></div>