ChangeLog

   1 2.4.3
   2 - Add python3 support for libaudit
   3 - Cleanup automake warnings
   4 - Add AuParser_search_add_timestamp_item_ex to python bindings
   5 - Add AuParser_get_type_name to python bindings
   6 - Correct processing of obj_gid in auditctl (Aleksander Zdyb)
   7 - Make plugin config file parsing more robust for long lines (#1235457)
   8 - Make auditctl status print lost field as unsigned number
   9 - Add interpretation mode for auditctl -s
  10 - Add python3 support to auparse library
  11 - Make --enable-zos-remote a build time configuration option (Clayton Shotwell)
  12 - Updates for cross compiling (Clayton Shotwell)
  13 - Add MAC_CHECK audit event type
  14 - Add libauparse pkgconfig file (Aleksander Zdyb)
  15
  16 2.4.2
  17 - Ausearch should parse exe field in SECCOMP events
  18 - Improve output for short mode interpretations in auparse
  19 - Add CRYPTO_IKE_SA and CRYPTO_IPSEC_SA events
  20 - If auditctl is reading rules from a file, send messages to syslog (#1144252)
  21 - Correct lookup of ppc64le when determining machine type
  22 - Increase time buffer for wide character numbers in ausearch/report (#1200314)
  23 - In aureport, add USER_TTY events to tty report
  24 - In audispd, limit reporting of queue full messages (#1203810)
  25 - In auditctl, don't segfault when invalid options passed (#1206516)
  26 - In autrace, remove some older unimplemented syscalls for aarch64 (#1185892)
  27 - In auditctl, correct lookup of aarch64 in arch field (#1186313)
  28 - Update lookup tables for 4.1 kernel
  29
  30 2.4.1
  31 - Make python3 support easier
  32 - Add support for ppc64le (Tony Jones)
  33 - Add some translations for a1 of ioctl system calls
  34 - Add command & virtualization reports to aureport
  35 - Update aureport config report for new events
  36 - Add account modification summary report to aureport
  37 - Add GRP_MGMT and GRP_CHAUTHTOK event types
  38 - Correct aureport account change reports
  39 - Add integrity event report to aureport
  40 - Add config change summary report to aureport
  41 - Adjust some syslogging level settings in audispd
  42 - Improve parsing performance in everything
  43 - When ausearch outputs a line, use the previously parsed values (Burn Alting)
  44 - Improve searching and interpreting groups in events
  45 - Fully interpret the proctitle field in auparse
  46 - Correct libaudit and auditctl support for kernel features
  47 - Add support for backlog_time_wait setting via auditctl
  48 - Update syscall tables for the 3.18 kernel
  49 - Ignore DNS failure for email validation in auditd (#1138674)
  50 - Allow rotate as action for space_left and disk_full in auditd.conf
  51 - Correct login summary report of aureport
  52 - Auditctl syscalls can be comma separated list now
  53 - Update rules for new subsystems and capabilities
  54
  55 2.4
  56 - Optionally parse loginuids, (e)uids, & (e)gids in ausearch/report
  57 - In auvirt, anomaly events don't have uuid (#1111448)
  58 - Fix category handling in various records (#1120286)
  59 - Fix ausearch handling of session id on 32 bit systems
  60 - Set systemd startup to wait until systemd-tmpfiles-setup.service (#1097314)
  61 - Interpret a0 of socketcall and ipccall syscalls
  62 - Add pkgconfig file for libaudit
  63 - Add go language bindings for limited use of libaudit
  64 - Fix ausearch handling of exit code on 32 bit systems
  65 - Fix bug in aureport string linked list handling
  66 - Document week-ago time setting in ausearch/report man page
  67 - Update tables for 3.16 kernel
  68 - In aulast, on bad logins only record user_login proof and use it
  69 - Add libaudit API for kernel features
  70 - If audit=0 on kernel cmnd line, skip systemd activation (Cristian Rodríguez)
  71 - Add checkpoint --start option to ausearch (Burn Alting)
  72 - Fix arch matching in ausearch
  73 - Add --loginuid-immutable option to auditctl
  74 - Fix memory leak in auditd when log_format is set to NOLOG
  75 - Update auditctl to display features in the status command
  76 - Add ausearch_add_timestamp_item_ex() to auparse
  77
  78 2.3.7
  79 - Limit number of options in a rule in libaudit
  80 - Auditctl cannot load rule with lots of syscalls (#1089713)
  81 - In ausearch, fix checkpointing when inode is reused by new log (Burn Alting)
  82 - Add PROCTITLE and FEATURE_CHANGE event types
  83
  84 2.3.6
  85 - Add an option to auditctl to interpret a0 - a3 of syscall rules when listing
  86 - Improve ARM and AARCH64 support (AKASHI Takahiro)
  87 - Add ausearch --checkpoint feature (Burn Alting)
  88 - Add --arch option to ausearch
  89 - Improve too long config line in audispd, auditd, and auparse (#1071580)
  90 - Fix aulast to accept the new AUDIT_LOGIN record format
  91 - Remove clear_config symbol in auparse
  92
  93 2.3.5
  94 - In CRYPTO_KEY_USER events, do not interpret the 'fp' field
  95 - Change formatting of rules listing in auditctl to look like audit.rules
  96 - Change auditctl to do all netlink comm and then print rules
  97 - Add a debug option to ausearch to find skipped events
  98 - Parse subject, auid, and ses in LOGIN events (3.14 kernel changed format)
  99 - In auditd, when shifting logs, ignore the num_logs setting (#950158)
 100 - Allow passing a directory as the input file for ausearch/report (LC Bruzenak)
 101 - Interpret syscall fields in SECCOMP events
 102 - Increase a couple buffers to handle longer input
 103
 104 2.3.4
 105 - Parse path in CONFIG_CHANGE events
 106 - In audisp-remote, fix retry logic for temporary network failures
 107 - In auparse, add get_type_name function
 108 - Add --no-config command option to aureport
 109 - Fix interpretting MCS seliunx contexts in ausearch (#970675)
 110 - In auparse, classify selinux contexts as MAC_LABEL field type
 111 - In ausearch/report parse vm-ctx and img-ctx as selinux labels
 112 - Update translation tables for the 3.14 kernel
 113
 114 2.3.3
 115 - Documentation updates
 116 - Add AUDIT_USER_MAC_CONFIG_CHANGE event for MAC policy changes
 117 - Update interpreting scheduler policy names
 118 - Update automake files to automake-1.13.4
 119 - Remove CAP_COMPROMISE_KERNEL interpretation
 120 - Parse name field in AVC's (#1049916)
 121 - Add missing typedef for auparse_type_t enumeration (#1053424)
 122 - Fix parsing encoded filenames in records
 123 - Parse SECCOMP events
 124
 125 2.3.2
 126 - Put RefuseManualStop in the right systemd section (#969345)
 127 - Add legacy restart scripts for systemd support
 128 - Add more syscall argument interpretations
 129 - Add 'unset' keyword for uid & gid values in auditctl
 130 - In ausearch, parse obj in IPC records
 131 - In ausearch, parse subj in DAEMON_ROTATE records
 132 - Fix interpretation of MQ_OPEN and MQ_NOTIFY events
 133 - In auditd, restart dispatcher on SIGHUP if it had previously exited
 134 - In audispd, exit when no active plugins are detected on reconfigure
 135 - In audispd, clear signal mask set by libev so that SIGHUP works again
 136 - In audispd, track binary plugins and restart if binary was updated
 137 - In audispd, make sure we send signals to the correct process
 138 - In auditd, clear signal mask when spawning any child process
 139 - In audispd, make builtin plugins respond to SIGHUP
 140 - In auparse, interpret mode flags of open syscall if O_CREAT is passed
 141 - In audisp-remote, don't make address lookup always a permanent failure
 142 - In audisp-remote, remove EOE events more efficiently
 143 - In auditd, log the reason when email account is not valid
 144 - In audisp-remote, change default remote_ending action to reconnect
 145 - Add support for Aarch64 processors
 146
 147 2.3.1
 148 - Rearrange auditd setting enabled and pid to avoid a race (#910568)
 149 - Interpret the ocomm field from OBJ_PID records
 150 - Fix missing 'then' statement in sysvinit script
 151 - Switch ausearch to use libauparse for interpretting fields
 152 - In libauparse, interpret prctl arg0, sched_setscheduler arg1
 153 - In auparse, check source_list isn't NULL when opening next file (Liequan Che)
 154 - In libauparse, interpret send* flags argument
 155 - In libauparse, interpret level and name options for set/getsockopt
 156 - In ausearch/report, don't flush events until last file (Burn Alting)
 157 - Don't use systemctl to stop the audit daemon
 158
 159 2.3
 160 - The clone(2) man page is really clone(3), fix interpretation of clone syscall
 161 - Add systemd support for reload (#901533)
 162 - Allow -F msgtype on the user filter
 163 - Add legacy support for resuming logging under systemd (#830780)
 164 - Add legacy support for rotating logs under systemd (#916611)
 165 - In auditd, collect SIGUSR2 info for DAEMON_RESUME events
 166 - Updated man pages
 167 - Update libev to 4.15
 168 - Update syscall tables for 3.9 kernel
 169 - Interpret MQ_OPEN events
 170 - Add augenrules support (Burn Alting)
 171 - Consume less stack sending audit events
 172
 173 2.2.3
 174 - Code cleanups
 175 - In spec file, don't own lib64/audit
 176 - Update man pages
 177 - Aureport no longer reads auditd.conf when stdin is used
 178 - Don't let systemd kill auditd if auditctl errors out
 179 - Update syscall table for 3.7 and 3.8 kernels
 180 - Add interpretation for setns and unshare syscalls
 181 - Code cleanup (Tyler Hicks)
 182 - Documentation cleanups (Laurent Bigonville)
 183 - Add dirfd interpretation to the *at functions
 184 - Add termination signal to clone flags interpretation
 185 - Update stig.rules
 186 - In auditctl, when listing rules don't print numeric value of dir fields
 187 - Add support for rng resource type in auvirt
 188 - Fix aulast bad login output (#922508)
 189 - In ausearch, allow negative numbers for session and auid searches
 190 - In audisp-remote, if disk_full_action is stop then stop sending (#908977)
 191
 192 2.2.2
 193 - In auditd, tcp_max_per_addr was allowing 1 more connection than specified
 194 - In ausearch, fix matching of object records
 195 - Auditctl was returning -1 when listing rules filtered on a key field
 196 - Add interpretations for CAP_BLOCK_SUSPEND and CAP_COMPROMISE_KERNEL
 197 - Add armv5tejl, armv5tel, armv6l and armv7l machine types (Nathaniel Husted)
 198 - Updates for the 3.6 kernel
 199 - Add auparse_feed_has_data function to libauparse
 200 - Update audisp-prelude to use auparse_feed_has_data
 201 - Add support to conditionally build auditd network listener (Tyler Hicks)
 202 - In auditd, reset a flag after receiving USR1 signal info when rotating logs
 203 - Add optional systemd init script support
 204 - Add support for SECCOMP event type
 205 - Don't interpret aN_len field in EXECVE records (#869555)
 206 - In audisp-remote, do better job of draining queue
 207 - Fix capability parsing in ausearch/auparse
 208 - Interpret BPRM_FCAPS capability fields
 209 - Add ANOM_LINK event type
 210
 211 2.2.1
 212 - Add more interpretations in auparse for syscall parameters
 213 - Add some interpretations to ausearch for syscall parameters
 214 - In ausearch/report and auparse, allocate extra space for node names
 215 - Update syscall tables for the 3.3.0 kernel
 216 - Update libev to 4.0.4
 217 - Reduce the size of some applications
 218 - In auditctl, check usage against euid rather than uid
 219
 220 2.2
 221 - Correct all rules for clock_settime
 222 - Fix possible segfault in auparse library
 223 - Handle malformed socket addresses better
 224 - Improve performance in audit_log_user_message()
 225 - Improve performance in writing to the log file in auditd
 226 - Syscall update for accept4 and recvmmsg
 227 - Update autrace resource usage mode syscall list
 228 - Improved sample rules for recent syscalls
 229 - Add some debug info to audisp-remote startup and shutdown
 230 - Make compiling with Python optional
 231 - In auditd, if disk_error_action is ignore, don't syslog anything
 232 - Fix some memory leaks
 233 - If audispd is stopping, don't restart children
 234 - Add support in auditctl for shell escaped filenames (Alexander)
 235 - Add search support for virt events (Marcelo Cerri)
 236 - Update interpretation tables
 237 - Sync auparse's auditd config parser with auditd's parser
 238 - In ausearch, also use cwd fields in file name searchs
 239 - In ausearch, parse cwd in USER_CMD events
 240 - In ausearch, correct parsing of uid in user space events
 241 - In ausearch, update parsing of integrity events
 242 - Apply some text cleanups from Debian (Russell Coker)
 243 - In auditd, relax some permission checks for external apps
 244 - Add ROLE_MODIFY event type
 245 - In auditctl, new -c option to continue through bad rules but with failed exit
 246 - Add auvirt program to do special reporting on virt events (Marcelo Cerri)
 247 - Add interfield comparison support to auditctl (Peter Moody)
 248 - Update auparse type intepretation for apparmor (Marcelo Cerri)
 249 - Increase tcp_max_per_addr maximum to 1024.
 250
 251 2.1.3
 252 - Fix parsing of EXECVE records to not escape argc field
 253 - If auditd's disk is full, send the right reason to client (#715315)
 254 - Add CAP_WAKE_ALARM to interpretations
 255 - Some updates to audisp-remote's remote-fgets function (Mirek Trmac)
 256 - Add detection of TTY events to audisp-prelude (Matteo Sessa)
 257 - Updated syscall tables for the 3.0 kernel
 258 - Update linker flags for better relro support
 259 - Make default size of logs bigger (#727310)
 260 - Extract obj from NETFILTER_PKT events
 261 - Disable 2 kerberos config options in audisp-remote.conf
 262
 263 2.1.2
 264 - In ausearch/report, fix a segfault caused by MAC_POLICY_LOAD records
 265 - In ausearch/report, add and update parsers
 266 - In auditd, cleanup DAEMON_ACCEPT and DAEMON_CLOSE addr fields
 267 - In ausearch/report, parse addr field of DAEMON_ACCEPT & DAEMON_CLOSE records
 268 - In auditd, move startup success to after events are registered
 269 - If auditd shutsdown due to failed tcp init, write a DAEMON_ABORT event
 270 - Update auditd to avoid the oom killer in new kernels (Andreas Jaeger)
 271 - Parse and interpret NETFILTER_PKT events correctly
 272 - Return error if auditctl -l fails (#709345)
 273 - In audisp-remote, replace glibc's fgets with custom implementation
 274
 275 2.1.1
 276 - When ausearch is interpretting, output "as is" if no = is found
 277 - Correct socket setup in remote logging
 278 - Adjusted a couple default settings for remote logging and init script
 279 - Audispd was not marking restarted plugins as active
 280 - Audisp-remote should keep a capability if local_port < 1024
 281 - When audispd restarts plugin, send event in its preferred format
 282 - In audisp-remote, make all I/O asynchronous
 283 - In audisp-remote, add sigusr1 handler to dump internal state
 284 - Fix autrace to use correct syscalls on s390 and s390x systems
 285 - Add shutdown syscall to remote logging teardowns
 286 - Correct autrace rule for 32 bits systems
 287
 288 2.1
 289 - Update auditctl man page for new field on user filter
 290 - Fix crash in aulast when auid is foreign to the system
 291 - Code cleanups
 292 - Add store and forward model to audispd-remote (Mirek Trmac)
 293 - Free memory on failed startups in audisp-prelude
 294 - Fix memory leak in aureport
 295 - Fix parsing state problem in libauparse
 296 - Improve the robustness of libaudit field encoding functions
 297 - Update capability tables
 298 - In auditd, make failure action config checking consistent
 299 - In auditd, check that NULL is not being passed to safe_exec
 300 - In audisp-remote, overflow_action wasn't suspending if that action was chosen
 301 - Update interpretations for virt events
 302 - Improve remote logging warning and error messages
 303 - Add interpretations for netfilter events
 304
 305 2.0.6
 306 - ausearch/report performance improvements
 307 - Synchronize all sample syscall rules to use action,list
 308 - If program name provided to audit_log_acct_message, escape it
 309 - Fix man page for the audit_encode_nv_string function (#647131)
 310 - If value is NULL, don't segfault (#647128)
 311 - Fix simple event parsing to not assume session id can't be last (Peng Haitao)
 312 - Add support for new mmap audit event type
 313 - Add ability for audispd syslog plugin to choose facility local0-7 (#593340)
 314 - Fix autrace to use correct syscalls on i386 systems (Peng Haitao)
 315 - On startup and reconfig, check for excess logs and unlink them
 316 - Add a couple missing parser debug messages
 317 - Fix error output resolving numeric address and update man page
 318 - Add netfilter event types
 319 - Fix spelling error in audit.rules man page (#667845)
 320 - Improve warning in auditctl regarding immutable mode (#654883)
 321 - Update syscall tables for the 2.6.37 kernel
 322 - In ausearch, allow searching for auid -1
 323 - Add queue overflow_action to audisp-remote to control queue overflows
 324 - Update sample rules for new syscalls and packages
 325
 326 2.0.5
 327 - Make auparse handle empty AUSOURCE_FILE_ARRAY correctly (Miloslav Trmač)
 328 - On i386, audit rules do not work on inode's with a large number (#554553)
 329 - Fix displaying of inode values to be unsigned integers when listing rules
 330 - Correct Makefile install of audispd (Jason Tang)
 331 - Syscall table updates for 2.6.34 kernel
 332 - Add definitions for service start and stop
 333 - Fix handling of ignore errors in auditctl
 334 - Fix gssapi support to build with new linker options
 335 - Add virtualization event types
 336 - Update aureport program help and man pages to show all options
 337
 338 2.0.4
 339 - Make alpha processor support optional
 340 - Add support for the arm eabi processor
 341 - add a compatible regexp processing capability to auparse (Miloslav Trmač)
 342 - Fix regression in parsing user space originating records in aureport
 343 - Add tcp_max_per_addr option in auditd.conf to limit concurrent connections
 344 - Rearrange shutdown of auditd to allow DAEMON_END event more time
 345
 346 2.0.3
 347 - In auditd, tell libev to stop processing a connection when idle timeout
 348 - In auditd, tell libev to stop processing a connection when shutting down
 349 - Interpret CAPSET records in ausearch/auparse
 350
 351 2.0.2
 352 - If audisp-remote plugin has a queue at exit, use non-zero exit code
 353 - Fix autrace to use the exit filter
 354 - In audisp-remote, add a sigchld handler
 355 - In auditd, check for duplicate remote connections before accepting
 356 - Remove trailing ':' if any are at the end of acct fields in ausearch
 357 - Update remote logging code to do better sanity check of data
 358 - Fix audisp-prelude to prefer files if multiple path records are encountered
 359 - Add libaudit.conf man page
 360 - In auditd, disconnect idle clients
 361
 362 2.0.1
 363 - Aulast now reads daemon_start events for the kernel version of reboot
 364 - Clarify the man pages for ausearch/report regarding locale and date formats
 365 - Fix getloginuid for python bindings
 366 - Disable the audispd af_unix plugin by default
 367 - Add a couple new init script actions for LSB 3.2
 368 - In audisp-remote plugin, timeout network reads (#514090)
 369 - Make some error logging in audisp-remote plugin more prominent
 370 - Add audit.rules man page
 371 - Interpret the session field in audit events
 372
 373 2.0
 374 - Remove system-config-audit
 375 - Get rid of () from userspace originating events
 376 - Removed old syscall rules API - not needed since 2.6.16
 377 - Remove all use of the old rule structs from API
 378 - Fix uninitialized variable in auditd log rotation
 379 - Add libcap-ng support for audispd plugins
 380 - Removed ancient defines that are part of kernel 2.6.29 headers
 381 - Bump soname number for libaudit
 382 - In auditctl, deprecate the entry filter and move rules to exit filter
 383 - Parse integrity audit records in ausearch/report (Mimi Zohar)
 384 - Updated syscall table for 2.6.31 kernel
 385 - Remove support for the legacy negate syscall rule operator
 386 - In auditd reset syslog warnings if disk space becomes available
 387
 388 <see audit-1.8 for 1.X change history>
 389 <see audit-1.0.12 for 1.0 change history>