Да, я все больше склоняюсь к фильтрации на стадии отправки логов.

но можно еще выше написать -a exit,always для нужных типов PATH, если знаете, как их описать. fisrst match выигрывает.

но даже для exec я бы PATH сохранил, потому, что взять mode и capabiulities иначе просто неоткуда

а без этого не отличить суидные бинари

Вопрос в том где дешевле ;)

обычный бинарь:
type=PATH msg=audit(1594651836.597:978927): item=0 name="/sbin/auditctl" inode=11665461 dev=09:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

суидный бинарь
type=PATH msg=audit(1594651836.585:978922): item=0 name="/usr/bin/sudo" inode=105907260 dev=09:02 mode=0104755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0

файл с capabilities
type=PATH msg=audit(1594653227.704:979067): item=0 name="/bin/ping" inode=130940966 dev=09:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000002000 cap_fi=0000000000000000 cap_fe=1 cap_fver=2

Вот-вот, а я розово мечтаю сохранить все path, а выпилить их не для сискола или типа сообщений, а для пути конкретного.

echo -n 'type=PATH msg=audit(1594653227.704:979067): item=0 name="/bin/ping" inode=130940966 dev=09:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000002000 cap_fi=0000000000000000 cap_fe=1 cap_fver=2'|wc -c
215

200 байт точно того стоят?

Когда их по 16м в день - боюсь, да.

Конкретный путь - это не очь хорошая история...

Хотите немного "прохладных" историй? Хотел я, значит, получить доступ к API твиттера, для вытаскивания ioc.
Оформляю заявку на получения ключа разработчика и в графе целей (для чего мне нужен ключ) все честно пишу. Пишу, мол, хочу подписываться на твитты экспертов и собирать ioc-и. Ставлю галку, что хранить твитты и персональную инфу не буду. В качестве страны указываю Россию.
Твиттер думает пару дней и отклоняет запрос без указания причины.
Ну ОК. «А как тебе такое Илон Маск» – думаю я. Прокся – Новая заявка – Цель: подписаться на новости по играм, компам и гаджетам, страна – Латвия. Подтверждение заявки прилетает через 15 мин.
Короче #RussianCybersecurityCouchExpertsMatter

ты поменял 2 параметра
это плохой эксперимент

3: Страна, цель, IP

Попахивает ложью

2 года назад мне без проблем дали статус разработчика. Теперь всё сложнее.

Да, раньше было проще, об этом много пишут

Есть теперь даже мануалы как без проблем получать ключик

Уже второй раз слышу об идее собирать ioc в твиттере, неужели там самая актуальная инфа выкладывается? Не гит, не личные блоги на какой-нибудь площадке?

Если бы ты у меня спросил - я бы сказал что так делать не нужно. Ибо сам так отлуп получил)

И второй раз вроде на тот же аккаунт не попросишь. Год назад на другой аккаунт  для тех же целей просил, тоже не дали.