Home
  •  

A eliminar utilizador do grupo (Servidor SUSE Linux Enterprise 10)

Microsoft.ACS.Linux.SLES.10.Deleting.User.From.Group (Rule)

Regra para recolher eventos relativos à eliminação de um utilizador de um grupo

Knowledge Base article:

Resumo

Foi detetado um comando usermod bem sucedido nos ficheiros de registo do sistema.

Causas

Foi eliminado um utilizador de um grupo do sistema. Este monitor permite aos administradores de sistema controlar a criação e eliminação de contas/grupos.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.Linux.SLES.10.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.SLES.10.Deleting.User.From.Group" Enabled="true" Target="Microsoft.ACS.Linux.SLES.10.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <!-- [TYPE] SUSE UserDeleteFromGroup True -->

      <!-- [INPUT] Oct 13 15:52:42 scxcore-suse01 shadow[17293]: account removed from group - account=tempuser, group=tempgroup, gid=1000, by=0 -->

      <!-- [EXPECTED] date="Oct 13 15:52:42"; hostname="scxcore-suse01"; process="shadow"; processId="17293"; clientUser="tempuser"; groupName="tempgroup" -->

      <RegExpFilter>\s+shadow\[[[:digit:]]+\]: account removed from group - account=\S+, group=\S+, gid=</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'shadow)\[(?'processId'\d+)\]: account removed from group - account=(?'clientUser'\S+), group=(?'groupName'\S+), gid=</RegExp>

      <EventType>1</EventType>

      <EventId>27005</EventId>

      <BackrefOverrides>sessionName="User removed from group"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>