<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto">Although then perhaps you should check pluto.log too ? But that would likely give false positives too ?<br><br><div id="AppleMailSignature" dir="ltr">Sent from mobile device</div><div dir="ltr"><br>On Sep 6, 2019, at 16:24, Andrew Cagney <<a href="mailto:andrew.cagney@gmail.com">andrew.cagney@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 5 Sep 2019 at 10:52, Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, 4 Sep 2019, Andrew Cagney wrote:<br>
<br>
> Look in nic.console.verbose.txt<br>
> <br>
> type=SYSCALL msg=audit(1567646808.958:61): arch=c000003e syscall=165 success=yes exit=0 a0=0 a1=55cef7279d60 a2=0 a3=1031 items=1 ppid=1 pid=486 auid=429496729<br>
> 5 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none)<br>
<br>
Should it not only trigger for the console.txt's? instead of looking at<br>
the verbose console.txt's? If it did that, we could add a sanitizer to<br>
strip out: tty=(none)<br>
<br></blockquote><div><br></div><div>I'll try this - nic's sanitized output already looks pretty empty.<br></div><div> <br></div></div></div>
</div></blockquote></body></html>