Audit/Auditd/Audispd documentation

Hi, I've been searching for Audit documentation and stumbled upon following conversation: http://www.redhat.com/archives/linux-audit/2006-September/msg00081.html Has anything changed since 2006? I need to write set of rules to correlate audit events from many systems. Following information would be very useful: 1) Event formats - What fields will be generated for particular event type? Which fields are common to all event types? What type of data will be in those fields (binary/encoded/ASCII/UNICODE)? What do those fields describe? 2) For all event types - description when (in what circumstances) are generated events of this type 3) How do DAC event types relate to AVC (which fields are common, which are not) Best regards, Arkadiusz Wojtczak Ekspert [cid:image001.png@01CFFF52.E9321B50] PKO Bank Polski Departament Bezpieczeństwa Biuro Bezpieczeństwa Informatycznego 02-515 Warszawa, ul. Puławska 15 t: 22 521 68 80 k: 666 824 168 Nie drukuj tej wiadomości, ani innych dokumentów, jeśli nie jest to konieczne. Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie przy ul. Puławskiej 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000026438; NIP: 525-000-77-38 REGON: 016298263; kapitał zakładowy (kapitał wpłacony) 1 250 000 000 PLN / Powszechna Kasa Oszczędności Bank Polski S.A. registered in the District Court for the Capital City of Warsaw, 13th Commercial Division of the National Court Register under KRS number 0000026438, Tax Identification Number (NIP): 525-000-77-38, REGON: 016298263, share capital 1,250,000,000 PLN. Niniejsza wiadomość może zawierać poufną i prawnie zastrzeżoną korespondencję między naszą Firmą i Klientem. Jeżeli nie jesteście Państwo jej adresatem informujemy, że otrzymali ją Państwo omyłkowo oraz, że przeglądanie, rozpowszechnianie lub kopiowanie jest zabronione. W przypadku omyłkowego otrzymania niniejszej wiadomości, prosimy o niezwłoczne powiadomienie o tym nadawcy i wykasowanie oryginału. / This message may contain a confidential and privileged our Company and Client communication. If you are not the intended recipient, you are hereby notified that you have received this message in error - any review, distribution or copying of this message is strictly prohibited. If you have received this message in error, please notify the sender immediately and delete the original.