Home
  •  

Eliminar Grupo (Universal Linux)

Microsoft.ACS.Linux.Universal.Deleting.Group (Rule)

Regra para recolher eventos relativos à eliminação de um grupo

Knowledge Base article:

Resumo

Foi detetado um comando groupdel bem sucedido nos ficheiros de registo do sistema.

Configuração

Esta regra está desativada por predefinição. Pode ser ativada com uma substituição de uma instância específica do Universal Linux, todas as instâncias do Universal Linux ou um grupo de instâncias do Universal Linux. Se esta regra estiver ativada, o parâmetro RegExpFilter deve ser substituído com um padrão de Expressão Regular adequado para o sistema operativo Linux e versão alvo. As mensagens do registo de sistema para condições específicas podem variar entre sistemas operativos e versão.

Causas

Foi eliminado um grupo do sistema. Este monitor permite aos administradores de sistema controlar a criação e eliminação de contas/grupos.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Deleting.Group" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 GroupDelete True -->

      <!-- [INPUT] Oct  5 08:05:29 scxcrd-rhel6-01 groupdel[20970]: group 'tempgroup' removed -->

      <!-- [EXPECTED] date="Oct  5 08:05:29"; hostname="scxcrd-rhel6-01"; process="groupdel"; processId="20970"; groupName="tempgroup" -->

      <RegExpFilter>\s+groupdel\[[[:digit:]]+\]: group '\S+' removed</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'groupdel)\[(?'processId'\d+)\]: group '(?'groupName'\S+)' removed</RegExp>

      <EventType>1</EventType>

      <EventId>27005</EventId>

      <BackrefOverrides>sessionName="Group removed"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>