<div><div dir="auto">Warron,</div><div dir="auto"><br></div><div dir="auto">> Furthermore, where would I add the -i switch to a rule like this one:<br></div><div dir="auto"><br></div><div dir="auto">You basically put a "-i" on a separate line by itself afaik somewhere at the top of the audit rules file. All the rules below the -i line will not cause a load failure (Steve and RGB can confirm). </div><div dir="auto"><br></div><div dir="auto">Farhan</div><br><div class="gmail_quote"><div>On Tue, Apr 24, 2018 at 8:49 PM Richard Guy Briggs <<a href="mailto:rgb@redhat.com">rgb@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2018-04-24 18:04, warron.french wrote:<br>
> Furthermore, where would I add the -i switch to a rule like this one:<br>
> <br>
> -a always,exit -F path=/usr/bin/cgclassify -F perm=x -F auid>=1000 -F<br>
> auid!=4294967295 -k privileged<br>
<br>
I'm not aware of any per-rule switches to permit failure to load to be<br>
non-fatal.  I was suggesting it might help in your situation to add such<br>
a feature, but I think the better solution is a customized rule set for<br>
each machine or type of machine.<br>
<br>
> ??<br>
> <br>
> --------------------------<br>
> Warron French<br>
> <br>
> <br>
> On Tue, Apr 24, 2018 at 6:03 PM, warron.french <<a href="mailto:warron.french@gmail.com" target="_blank">warron.french@gmail.com</a>><br>
> wrote:<br>
> <br>
> > Mr. Briggs/Rafi,<br>
> ><br>
> > I don't see the -i switch even mentioned in the manpage for audit.rules.<br>
> > Is this a documented switch, or not yet a capability on Red Hat or CentOS<br>
> > systems?<br>
> ><br>
> > Thanks in advance,<br>
> ><br>
> > --------------------------<br>
> > Warron French<br>
> ><br>
> ><br>
> > On Tue, Apr 24, 2018 at 11:14 AM, Richard Guy Briggs <<a href="mailto:rgb@redhat.com" target="_blank">rgb@redhat.com</a>><br>
> > wrote:<br>
> ><br>
> >> On 2018-04-23 23:41, F Rafi wrote:<br>
> >> > Adding a -i to the rules file should ignore any errors.<br>
> >><br>
> >> At risk of feature creep, it might be nice to have a flag to ignore<br>
> >> certain rules but not others, a way to tag individual rules with either<br>
> >> a must, or a different tag with "ignore if not present" for file rules.<br>
> >><br>
> >> > -Farhan<br>
> >> ><br>
> >> > On Mon, Apr 23, 2018 at 9:19 PM, warron.french <<a href="mailto:warron.french@gmail.com" target="_blank">warron.french@gmail.com</a>><br>
> >> wrote:<br>
> >> > > Hi, I have a requirement to monitor a ton of files, executables and<br>
> >> confug<br>
> >> > > files.<br>
> >> > ><br>
> >> > > Anyway, not all of my systems have every file in the list; and when I<br>
> >> add<br>
> >> > > the rules appropriate, either as a Watch (-w) rule or as an Action<br>
> >> (-a)<br>
> >> > > rule, the rules stop loading when the find a rule that has a file that<br>
> >> > > doesn't exist *on that particular system*.<br>
> >> > ><br>
> >> > > This is the intended effect, yes?<br>
> >> > ><br>
> >> > > Thanks in advance,<br>
> >> > > --------------------------<br>
> >> > > Warron French<br>
> >><br>
> >> - RGB<br>
> >><br>
> >> --<br>
> >> Richard Guy Briggs <<a href="mailto:rgb@redhat.com" target="_blank">rgb@redhat.com</a>><br>
> >> Sr. S/W Engineer, Kernel Security, Base Operating Systems<br>
> >> Remote, Ottawa, Red Hat Canada<br>
> >> IRC: rgb, SunRaycer<br>
> >> Voice: +1.647.777.2635, Internal: (81) 32635<br>
> >><br>
> ><br>
> ><br>
<br>
- RGB<br>
<br>
--<br>
Richard Guy Briggs <<a href="mailto:rgb@redhat.com" target="_blank">rgb@redhat.com</a>><br>
Sr. S/W Engineer, Kernel Security, Base Operating Systems<br>
Remote, Ottawa, Red Hat Canada<br>
IRC: rgb, SunRaycer<br>
Voice: +1.647.777.2635, Internal: (81) 32635<br>
<br>
--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com" target="_blank">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</blockquote></div></div>