Home
  •  

Início de Sessão na Consola Bem Sucedido (Universal Linux)

Microsoft.ACS.Linux.Universal.Console.Login.Succeeded (Rule)

Regra para recolher eventos relativos ao início de sessão bem sucedido na consola

Knowledge Base article:

Resumo

Foi detetada uma operação de início de sessão na consola nos ficheiros de registo do sistema.

Configuração

Esta regra está desativada por predefinição. Pode ser ativada com uma substituição de uma instância específica do Universal Linux, todas as instâncias do Universal Linux ou um grupo de instâncias do Universal Linux. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído com um padrão de Expressão Regular adequado para o sistema operativo Linux e versão alvo. As mensagens do registo de sistema para condições específicas podem variar entre sistemas operativos e versão.

Causas

Foi concedido ao utilizador acesso ao sistema através da consola do sistema. Este monitor permite aos administradores de sistema controlar a utilização da consola do sistema.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 ConsoleLogin True -->

      <!-- [INPUT] Oct  5 08:38:53 jeffcof-rh6 login: pam_unix(login:session): session opened for user jeffcof by LOGIN(uid=0) -->

      <!-- [EXPECTED] date="Oct  5 08:38:53"; hostname="jeffcof-rh6"; process="login"; subSystem="pam_unix"; user="jeffcof" -->

      <RegExpFilter>\s+login: \S+\(\S+\): session opened for user \S+ by LOGIN\(uid=[[:digit:]]+\)</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): (?'subSystem'\S+)\(\S+\): session opened for user (?'user'\S+) by LOGIN\(uid=\d+\)</RegExp>

      <EventType>1</EventType>

      <EventId>27002</EventId>

    </WriteAction>

  </WriteActions>

</Rule>