<div dir="ltr"><div dir="ltr"><div>I got a minimal audit.rules file containing:</div><div><br></div><div>    # cat -n /etc/audit/audit.rules</div><div>    1  -D</div><div>    2</div><div>    3  -b 8192</div><div>    4</div><div>    5  -e 0</div><div>    6</div><div>    7  -a always,exclude -F msgtype=CWD</div><div>    8</div><div>    9  -w /etc/sysctl.conf -p wa -k sysctl</div><div><br></div><div>When I restart auditd I get:</div><div><br></div><div>    # /etc/init.d/auditd restart</div><div>    Restarting audit daemon: auditd Error sending add rule request (Operation not supported)</div><div>    There was an error in line 7 of /etc/audit/audit.rules</div><div>     failed!</div><div><br></div><div>instructions like `-a always,exclude -F msgtype=CWD` seems to be very popular in example all over the internet. I don't understand why I get the error.</div><div><br></div><div>I use auditd `1:1.7.18-1.1` on debian 7 </div><div><br></div><div>What should I do to make this filter work?</div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">/VF</div></div></div></div>