<div dir="ltr">Greets,<div><br></div><div>auditd doesn&#39;t seem to support the type of flexibility I&#39;m looking for in terms of filters. I&#39;d like to log system calls based upon PID or path based upon /proc/self/exe, e.g. /usr/sbin/sshd. This is primarily due to log volume. Is what I&#39;m looking for possible? Or done better another way?</div>
<div><br></div><div>A related question is about the &quot;task&quot; directive. On a given PID or path as described above, does &quot;task&quot; only log artifacts related to the PID or path and its descendants? I&#39;m not sure if I&#39;m reading the auditd docs correctly.</div>
<div><br></div><div>Thanks.</div><div><br></div><div>Sean</div></div>