Regel voor het verzamelen van gebeurtenissen voor verwijdering van een gebruiker uit een groep
Er is een geslaagde usermod-opdracht aangetroffen in de logboekbestanden van het systeem.
Er is een gebruiker verwijderd uit een groep op het systeem. Deze monitor stelt systeembeheerders in staat het maken en verwijderen van accounts/groepen bij te houden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Linux.SLES.11.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.11.Deleting.User.From.Group" Enabled="true" Target="Microsoft.ACS.Linux.SLES.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE UserDeleteFromGroup True -->
<!-- [INPUT] Oct 13 17:00:27 scxcr-sles11-03 shadow[21387]: account removed from group - account=tempuser, group=tempgroup, gid=1000, by=0 -->
<!-- [EXPECTED] date="Oct 13 17:00:27"; hostname="scxcr-sles11-03"; process="shadow"; processId="21387"; clientUser="tempuser"; groupName="tempgroup" -->
<RegExpFilter>\s+shadow\[[[:digit:]]+\]: account removed from group - account=\S+, group=\S+, gid=</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'shadow)\[(?'processId'\d+)\]: account removed from group - account=(?'clientUser'\S+), group=(?'groupName'\S+), gid=</RegExp>
<EventType>1</EventType>
<EventId>27005</EventId>
<BackrefOverrides>sessionName="User removed from group"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>