Steve, thank you for your quick response!<br />
Indeed, that's the problem. My copy of PAM is not compiled with audit support.<br />
Many thanks, again,<br />
Robert<br />
 
<blockquote class="fm-read-more">
<div data-ng="originalcontent">-------- Eredeti levél --------</div>
<br />
Feladó: Steve Grubb <<a href="mailto:sgrubb@redhat.com" rel="nofollow">sgrubb@redhat.com</a>><br />
Dátum: 2019 május 30 14:31:19<br />
Tárgy: Re: Missing login records - Audit functionality in different kernel versions<br />
Címzett: <a href="mailto:linux-audit@redhat.com" rel="nofollow">linux-audit@redhat.com</a><br />
<br />
Hello,<br />
<br />
On Thursday, May 30, 2019 3:37:23 AM EDT Róbert Nagy wrote:<br />
> I tested Audit on a Debian 7 (kernel version 3.2.0-5-amd64), but in the<br />
> audit.log I get no USER_AUTH, USER_ACCT, CRED_ACQ, USER_START and<br />
> USER_LOGIN record types at all, Only USER_LOGIN types.<br />
><br />
> As I understand these records should be there without any rules set.<br />
> https://www.redhat.com/archives/linux-audit/2017-July/msg00046.html<br />
<br />
Yes. These are sent by pam. So, the question would be, is your copy of pam<br />
compiled with audit support?<br />
<br />
ldd /usr/lib64/libpam_misc.so | grep libaudit<br />
libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f06c2c39000)<br />
<br />
<br />
> On another server with kernel version 4.9 it works properly. Is there a<br />
> possibility that this Audit functionality is not implemented in kernel<br />
> version 3.2, or is this just a configuration issue on my side?<br />
<br />
This should be pam.<br />
<br />
-Steve<br />
<br />
> We have too many Debian 3.x production servers to consider kernel upgrade<br />
> being an option.<br />
><br />
> If it's a kernel issue, could you please recommend any workaround?<br />
> Currently I am thinking on parsing the auth.log<br />
><br />
> Many thanks,<br />
> Robert<br />
><br />
> auditd.conf:<br />
> log_file = /var/log/audit/audit.log<br />
> log_format = RAW<br />
> log_group = root<br />
> priority_boost = 4<br />
> flush = INCREMENTAL<br />
> freq = 20<br />
> num_logs = 4<br />
> disp_qos = lossy<br />
> dispatcher = /sbin/audispd<br />
> name_format = NONE<br />
> ##name = mydomain<br />
> max_log_file = 5<br />
> max_log_file_action = ROTATE<br />
> space_left = 75<br />
> space_left_action = SYSLOG<br />
> action_mail_acct = root<br />
> admin_space_left = 50<br />
> admin_space_left_action = SUSPEND<br />
> disk_full_action = SUSPEND<br />
> disk_error_action = SUSPEND<br />
> ##tcp_listen_port =<br />
> tcp_listen_queue = 5<br />
> tcp_max_per_addr = 1<br />
> ##tcp_client_ports = 1024-65535<br />
> tcp_client_max_idle = 0<br />
> enable_krb5 = no<br />
> krb5_principal = auditd<br />
> ##krb5_key_file = /etc/audit/audit.key<br />
<br />
<br />
<br />
 </blockquote>