<div dir="ltr"><div>Hello, I just wanted to confirm for my memory that if I wanted to confirm that the auditd process running on my system was configured correctly and intended to be</div><div><b>immutable (</b>setting <b>-e 2</b>) I would do so easily by executing:</div><div><br></div><div><b><font color="#ff0000">auditctl  -s</font></b></div><div><br></div><div>When I execute that command I get back in the results that have:</div><div><b>enabled 1</b></div><div><b>loginuid_immutable 0 unlocked</b></div><div><i>among a few other lines.</i></div><div><i><br></i></div><div>Shouldn't I actually see <b>enabled 2</b>?</div><div>I have in one of our .rules files under /etc/audit/rules.d/ the syntax    "-e 2".</div><div><br></div><div><br></div><div>Thanks,</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">--------------------------<br><font color="#000099" size="4">Warron French<br><font size="4"><font size="4"><font size="4"><br></font></font></font></font></div></div></div></div>