Regra para recolher eventos relativos ao início de sessão bem sucedido na consola
Foi detetada uma operação de início de sessão na consola nos ficheiros de registo do sistema.
Esta regra está desativada por predefinição. Pode ser ativada com uma substituição de uma instância específica do Universal Linux, todas as instâncias do Universal Linux ou um grupo de instâncias do Universal Linux. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído com um padrão de Expressão Regular adequado para o sistema operativo Linux e versão alvo. As mensagens do registo de sistema para condições específicas podem variar entre sistemas operativos e versão.
Foi concedido ao utilizador acesso ao sistema através da consola do sistema. Este monitor permite aos administradores de sistema controlar a utilização da consola do sistema.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 ConsoleLogin True -->
<!-- [INPUT] Oct 5 08:38:53 jeffcof-rh6 login: pam_unix(login:session): session opened for user jeffcof by LOGIN(uid=0) -->
<!-- [EXPECTED] date="Oct 5 08:38:53"; hostname="jeffcof-rh6"; process="login"; subSystem="pam_unix"; user="jeffcof" -->
<RegExpFilter>\s+login: \S+\(\S+\): session opened for user \S+ by LOGIN\(uid=[[:digit:]]+\)</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): (?'subSystem'\S+)\(\S+\): session opened for user (?'user'\S+) by LOGIN\(uid=\d+\)</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
</WriteAction>
</WriteActions>
</Rule>