Home
  •  

Geslaagde aanmelding bij console (Solaris 11)

Microsoft.ACS.Solaris.11.Console.Login.Succeeded (Rule)

Regel voor het verzamelen van gebeurtenissen voor geslaagde console-aanmeldingen

Knowledge Base article:

Samenvatting

Er is een geslaagde console-aanmelding aangetroffen in de logboekbestanden van het systeem.

Oorzaken

Aan de gebruiker is toegang tot het systeem verleend via de systeemconsole. Deze monitor stelt systeembeheerders in staat het gebruik van de systeemconsole bij te houden.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.

Element properties:

TargetMicrosoft.ACS.Solaris.11.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Solaris.11.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <!-- [TYPE] Solaris ConsoleLogin True -->

      <!-- [INPUT] Jan 17 10:06:14 chrispau-sol11-x86 login: [ID 644210 auth.notice] ROOT LOGIN /dev/console -->

      <!-- [EXPECTED] date="Jan 17 10:06:14"; hostname="chrispau-sol11-x86"; process="login" -->

      <RegExpFilter>[[:space:]]+login: \[.*\] ROOT LOGIN \/</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): \[.*\] ROOT LOGIN \/</RegExp>

      <EventType>1</EventType>

      <EventId>27002</EventId>

      <BackrefOverrides>user="root"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>