Regra para recolher eventos relativos ao início de sessão bem sucedido na consola
Foi detetada uma operação de início de sessão na consola com êxito, nos ficheiros de registo do sistema.
Foi concedido ao utilizador acesso ao sistema através da consola do sistema. Este monitor permite aos administradores de sistema controlar a utilização da consola do sistema.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Solaris.11.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Solaris.11.Console.Login.Succeeded" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/authlog</LogFile>
<!-- [TYPE] Solaris ConsoleLogin True -->
<!-- [INPUT] Jan 17 10:06:14 chrispau-sol11-x86 login: [ID 644210 auth.notice] ROOT LOGIN /dev/console -->
<!-- [EXPECTED] date="Jan 17 10:06:14"; hostname="chrispau-sol11-x86"; process="login" -->
<RegExpFilter>[[:space:]]+login: \[.*\] ROOT LOGIN \/</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): \[.*\] ROOT LOGIN \/</RegExp>
<EventType>1</EventType>
<EventId>27002</EventId>
<BackrefOverrides>user="root"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>