<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 25, 2017 at 7:02 PM, Shawn Wells <span dir="ltr"><<a href="mailto:shawn@redhat.com" target="_blank">shawn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5"><br>
<br>
On 1/25/17 9:55 AM, Jan Cerny wrote:<br>
> Hi,<br>
><br>
> It might be a bug, but also there can be another reason why this rule failed.<br>
><br>
> First thing that I would try is to add "--oval-results" to your command<br>
> and run the scan again. This option adds more details into the HTML report,<br>
> which hopefully could help you with identifying the problem.<br>
><br>
> Best Regards<br>
><br>
> Jan Černý<br>
> Security Technologies | Red Hat, Inc.<br>
><br>
> ----- Original Message -----<br>
>> From: "Luke Hinds" <<a href="mailto:lhinds@redhat.com">lhinds@redhat.com</a>><br>
>> To: <a href="mailto:open-scap-list@redhat.com">open-scap-list@redhat.com</a><br>
>> Sent: Tuesday, January 24, 2017 11:40:19 PM<br>
>> Subject: [Open-scap] inconsistent reporting on auditd<br>
>><br>
>> Hi,<br>
>><br>
>> When performing a xccdf scan of Centos 7 I am finding the report of auditd<br>
>> rule entries inconsistent with how the file is configured.<br>
>><br>
>> The following is reported as a fail, yet its an exact match for the scap<br>
>> report entry:<br>
>><br>
>> <a href="https://i.imgur.com/m1q7CLf.png" rel="noreferrer" target="_blank">https://i.imgur.com/m1q7CLf.<wbr>png</a><br>
>><br>
>> The following is a pass:<br>
>><br>
>> <a href="https://i.imgur.com/LqDiRPO.png" rel="noreferrer" target="_blank">https://i.imgur.com/LqDiRPO.<wbr>png</a><br>
>><br>
>> My command:<br>
>><br>
>> # oscap xccdf eval --profile common --report ~/report-xccdf.html --results<br>
>> ~/results.xml --cpe<br>
>> /usr/share/xml/scap/ssg/<wbr>content/ssg-rhel7-cpe-<wbr>dictionary.xml<br>
>> /usr/share/xml/scap/ssg/<wbr>content/ssg-centos7-xccdf.xml<br>
>><br>
>> Should I raise this as a bug?<br>
<br>
</div></div>What version of SSG?<br>
<br>
I don't recall the SSG version that it was patched in, but the original<br>
RHEL7 OVAL content only accepted audit rules with "-k foo", not "-F<br>
key=foo", as shown in your audit.rules.<br>
<br>
The patch was made 16-DEC, so may not be shipping in RHEL yet...<br>
<br>
<a href="https://github.com/OpenSCAP/scap-security-guide/commit/66f76d6158a1cd44a91f7f27286022755065e4b6" rel="noreferrer" target="_blank">https://github.com/OpenSCAP/<wbr>scap-security-guide/commit/<wbr>66f76d6158a1cd44a91f7f27286022<wbr>755065e4b6</a><br>
<div class="gmail-HOEnZb"><div class="gmail-h5"><br></div></div></blockquote><div><br></div><div>scap-security-guide-0.1.30</div><div><br></div><div>This was from the CentOS repository, although I just checked on RHEL and those are incorrectly reporting too (for the standard profile). </div></div>
</div></div>