audit
(システムコールのログをとる仕組み CONSIG_AUDITSYSCALLで有効になる）
は、システムコール呼び出し部分(entry.S)に手を加えるので、
アーキテクチャ依存。
SHは対応してなかったのでパッチを作った。だいぶ手元においていたのだけど、
SELinuxは、auditを使ってフルパスのログを取るため、
このままでは、設定時に困ってしまう。

で、ようやく清書して、提出した。
http://lkml.org/lkml/2007/11/7/3
コード自体に問題はなさそうだが、
2.6.24には間に合わないと言われた。2.6.25からか？
今回のは、SHの関数呼び出しのいい勉強になった。

さて、auditそのものは移植できたが、
フルパスを得るには、auditのルールを登録する必要があり、
不便。次は、auditのルールを登録しないでもいいようにしたい。
↓の事項をやらねば。
http://d.hatena.ne.jp/himainu/20071026#1193408880

auditについて、資料が増えてた。
http://people.redhat.com/sgrubb/audit/
に色々ある。
↓が最新か。
http://people.redhat.com/sgrubb/audit/summit07_audit_ids.odp