Home
  •  

Accesso alla console riuscito (Universal Linux)

Microsoft.ACS.Linux.Universal.Console.Login.Succeeded (Rule)

Regola per raccogliere gli eventi di accesso alla console riuscito

Knowledge Base article:

Riepilogo

Nei file log di sistema è stata rilevata un'operazione di accesso alla console.

Configurazione

Questa regola è disattivata per impostazione predefinita. Può essere attivata con un override, destinando un'istanza specifica, tutte le istanze o un gruppo di istanze di Universal Linux. Se questa regola è attivata, è necessario eseguire l'override del parametro RegExpFilter con un modello di espressione regolare appropriato per il sistema operativo e la versione Linux di destinazione. I messaggi del registro di sistema per condizioni specifiche possono variare a seconda dei sistemi operativi e della versione.

Cause

Un utente ha ottenuto accesso al sistema tramite la console di sistema. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo della console di sistema.

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 ConsoleLogin True -->

      <!-- [INPUT] Oct  5 08:38:53 jeffcof-rh6 login: pam_unix(login:session): session opened for user jeffcof by LOGIN(uid=0) -->

      <!-- [EXPECTED] date="Oct  5 08:38:53"; hostname="jeffcof-rh6"; process="login"; subSystem="pam_unix"; user="jeffcof" -->

      <RegExpFilter>\s+login: \S+\(\S+\): session opened for user \S+ by LOGIN\(uid=[[:digit:]]+\)</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): (?'subSystem'\S+)\(\S+\): session opened for user (?'user'\S+) by LOGIN\(uid=\d+\)</RegExp>

      <EventType>1</EventType>

      <EventId>27002</EventId>

    </WriteAction>

  </WriteActions>

</Rule>