Hi,

I came across a strange aureport behavior that would amount to a bug unless I am doing something wrong.

I am on Centos 7.2 with :

[root@odbfi021s ~]# rpm -qa|grep audit

audit-libs-2.4.1-5.el7.x86_64

audit-2.4.1-5.el7.x86_64

 

If I run aureport -k --summary -ts yesterday 09:00 -te yesterday 10:00 I get the answer immediately.

 

[root@odbfi021s ~]# aureport -k --summary -ts yesterday 09:00 -te yesterday 10:00

 

Key Summary Report

===========================

total  key

===========================

409  log_IAM

27  IAM64

26  audit_log

23  open64

16  etc

1deletion

 

Same thing with any round five minutes interval

 

[root@odbfi021s ~]# aureport -k --summary -ts yesterday 09:35 -te yesterday 09:40

 

Key Summary Report

===========================

total  key

===========================

1  IAM64

1  log_IAM

 

[root@odbfi021s ~]# aureport -k --summary -ts yesterday 09:40 -te yesterday 09:45

 

Key Summary Report

===========================

total  key

===========================

393  log_IAM

16  etc

11  audit_log

3  IAM64

2  open64

1  deletion

 

But If I request a ten minutes interval or a five minutes interval not starting at zero or five aureport hangs !

 

[root@odbfi021s ~]# aureport -k --summary -ts yesterday 09:35 -te yesterday 09:45

 

Key Summary Report

===========================

total  key

===========================

^C

 

Ausearch is ok with the same parameters :

 

[root@odbfi021s ~]# ausearch -ts yesterday 09:35 -te yesterday 09:45 |head

----

time->Mon Jan  4 09:39:08 2016

type=PATH msg=audit(1451896748.069:31806): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=133906 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

type=PATH msg=audit(1451896748.069:31806): item=0 name="/sbin/aide" inode=131924 dev=fd:01 mode=0100755 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

type=CWD msg=audit(1451896748.069:31806):  cwd="/root"

type=EXECVE msg=audit(1451896748.069:31806): argc=2 a0="aide" a1="-C"

type=SYSCALL msg=audit(1451896748.069:31806): arch=c000003e syscall=59 success=yes exit=0 a0=11f7d10 a1=11f7bf0 a2=111e8b0 a3=7ffce7b64200 items=2 ppid=21754 pid=21830 auid=3318358 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1230 comm="aide" exe="/usr/sbin/aide" key="IAM64"

----

time->Mon Jan  4 09:39:08 2016

type=PATH msg=audit(1451896748.105:31807): item=1 name="/var/log/aide/aide.log" inode=67 dev=fd:05 mode=0100600 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

[root@odbfi021s ~]#

 

Please let me know what I should do.

 

Regards

Philippe

 



Ce message et les pièces jointes sont confidentiels et réservés à l'usage exclusif de ses destinataires. Il peut également être protégé par le secret professionnel. Si vous recevez ce message par erreur, merci d'en avertir immédiatement l'expéditeur et de le détruire. L'intégrité du message ne pouvant être assurée sur Internet, la responsabilité de Worldline ne pourra être recherchée quant au contenu de ce message. Bien que les meilleurs efforts soient faits pour maintenir cette transmission exempte de tout virus, l'expéditeur ne donne aucune garantie à cet égard et sa responsabilité ne saurait être recherchée pour tout dommage résultant d'un virus transmis.

This e-mail and the documents attached are confidential and intended solely for the addressee; it may also be privileged. If you receive this e-mail in error, please notify the sender immediately and destroy it. As its integrity cannot be secured on the Internet, the Worldline liability cannot be triggered for the message content. Although the sender endeavours to maintain a computer virus-free network, the sender does not warrant that this transmission is virus-free and will not be liable for any damages resulting from any virus transmitted.