<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
What we do not know is - do you have any filtering criteria in mind not <br>
covered by the available auditctl exclusions or do you just want to <br>
"sample" randomly?<br>
<br>
If the latter, why bother auditing this with a rule at all? You might be <br>
able to remove the rule causing the events and do something in userspace <br>
to audit only what you really want.<br>
<br></blockquote><div><br></div><div>We want to sample system calls like rename.</div><div>In many cases, we have seen this overburden and increase auditd cpu consumption.</div><div>In such cases, we want to drop some events randomly, so as to keep cpu consumption under control.</div><div><br></div><div>There are other rules also, for example monitoring login/logout. </div><div>For such rules we do not want to drop any event.</div><div><br></div><div>--<br></div></div><div dir="ltr" class="gmail_signature">Anurag Aggarwal<br></div></div>