]> err.no Git - linux-2.6/commit
[PATCH] add rule filterkey
authorAmy Griffis <amy.griffis@hp.com>
Wed, 14 Jun 2006 22:45:21 +0000 (18:45 -0400)
committerAl Viro <viro@zeniv.linux.org.uk>
Sat, 1 Jul 2006 09:43:06 +0000 (05:43 -0400)
commit5adc8a6adc91c4c85a64c75a70a619fffc924817
treeace9af6bbc3cf711f43cfd88e834baeb6989ca3f
parent9262e9149f346a5443300f8c451b8e7631e81a42
[PATCH] add rule filterkey

Add support for a rule key, which can be used to tie audit records to audit
rules.  This is useful when a watched file is accessed through a link or
symlink, as well as for general audit log analysis.

Because this patch uses a string key instead of an integer key, there is a bit
of extra overhead to do the kstrdup() when a rule fires.  However, we're also
allocating memory for the audit record buffer, so it's probably not that
significant.  I went ahead with a string key because it seems more
user-friendly.

Note that the user must ensure that filterkeys are unique.  The kernel only
checks for duplicate rules.

Signed-off-by: Amy Griffis <amy.griffis@hpd.com>
include/linux/audit.h
kernel/audit.h
kernel/auditfilter.c
kernel/auditsc.c