Hatalı parola nedeniyle başarısız SUDO çağrısı olaylarını toplayan kural
Sistem günlük dosyalarında bir 'sudo' görüşme hatası algılanmıştır.
Kullanıcı ayrıcalıklı hesaplara erişim izni almaya çalışmış. Bu izleyici sistem yöneticilerinin 'sudo' kullanımını izleyebilmesini sağlar.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.HPUX.11iv3.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.HPUX.11iv3.Sudo.Conversation.Error" Enabled="true" Target="Microsoft.ACS.HPUX.11iv3.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<!-- [TYPE] HP SUDO False -->
<!-- [INPUT] Oct 30 15:12:50 scxhpi1 sudo: jonas : pam_authenticate: Conversation failure ; TTY=pts/0 ; PWD=/storage/home/jonas ; USER=root ; COMMAND=/usr/bin/tail /var/adm/syslog/syslog.log -->
<!-- [INPUT] Oct 30 15:14:52 1S:scxhpr2 sudo: jonas : pam_authenticate: Conversation failure ; TTY=pts/2 ; PWD=/storage/home/jonas ; USER=root ; COMMAND=/usr/bin/tail /var/adm/syslog/syslog.log -->
<!-- [EXPECTED] date="Oct 30 15:12:50"; hostname="scxhpi1"; process="sudo"; user="jonas"; clientUser="root"; sessionName="/usr/bin/tail /var/adm/syslog/syslog.log" -->
<!-- [EXPECTED] date="Oct 30 15:14:52"; hostname="scxhpr2"; process="sudo"; user="jonas"; clientUser="root"; sessionName="/usr/bin/tail /var/adm/syslog/syslog.log" -->
<RegExpFilter>[[:space:]]sudo:[[:space:]]+[^[:space:]]+ : pam_authenticate: Conversation failure ; TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo):\s+(?'user'\S+) : (?'subSystem'pam_authenticate): Conversation failure ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>