主控台登入成功 (Universal Linux) - Microsoft.ACS.Linux.Universal.Console.Login.Succeeded (Rule) (CHT)

Microsoft.ACS.Linux.Universal.Console.Login.Succeeded (Rule)

收集主控台登入成功事件的規則

Knowledge Base article:

摘要

在系統記錄檔中偵測到主控台登入作業。

設定

此規則預設為停用。這可透過覆寫特定 Universal Linux 執行個體、所有 Universal Linux 執行個體或 Universal Linux 執行個體群組等目標的方式來啟用。若啟用此規則，則會透過適用於目標 Linux 作業系統和版本的規則運算式模式來覆寫 RegExpFilter 參數。特定條件的系統記錄檔訊息可能會因為作業系統和版本的不同而有所差異。

原因

使用者已獲得經由系統主控台存取系統的權限。此監視可讓系統管理員追蹤系統主控台的使用狀況。

解決方式

警示及/或輸出資料項目的描述包含所發生事件的資訊。如果此活動似乎有問題，請檢查相關聯的事件詳細資訊，以及與此事件同時間發生的其他任何事件。

Element properties:

Target	Microsoft.ACS.Linux.Universal.ACSEndPoint
Category	EventCollection
Enabled	False
Alert Generate	False
Remotable	True

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Privileged.Datasource	Default
WA	WriteAction	Microsoft.ACS.Unix.SecureEventLogWriter	Default

Module Type

TypeId

RunAs

EventDS

DataSource

Microsoft.Unix.SCXLog.Privileged.Datasource

Default

WriteAction

Microsoft.ACS.Unix.SecureEventLogWriter

Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true"> <Category>EventCollection</Category> <DataSources> <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource"> <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host> <LogFile>/var/log/secure</LogFile>    <RegExpFilter>\s+login: \S+$\S+$: session opened for user \S+ by LOGIN$uid=[[:digit:]]+$</RegExpFilter> </DataSource> </DataSources> <WriteActions> <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter"> <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): (?'subSystem'\S+)$\S+$: session opened for user (?'user'\S+) by LOGIN$uid=\d+$</RegExp> <EventType>1</EventType> <EventId>27002</EventId> </WriteAction> </WriteActions> </Rule>