Home
  •  

Regola di avviso comando SU riuscito

Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Regola di avviso per i messaggi del comando "SU to root" riuscito.

Knowledge Base article:

Riepilogo

Nei file log di sistema è stato rilevato un comando "su" eseguito correttamente.

Configurazione

Questa regola è disattivata per impostazione predefinita. Per attivare questa regola per il monitoraggio, utilizzare override per configurare il percorso del file di registro e attivare la regola. Il percorso file di registro è impostato con la proprietà sottoponibile a override denominata LogFile e il valore deve essere impostato al percorso completo del file di registro che riceve tali eventi, come indicato nella configurazione syslog. Override può essere utilizzato per modificare i valori di parametro per tutte le istanze o per istanze specifiche o gruppi.

Cause

Agli utenti potrebbe essere stato concesso l'accesso ad account privilegiati con elevazione "su". Questa regola di avviso consente agli amministratori di sistema di tenere traccia dell'utilizzo di "su".

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'utilizzo di "su" appare sospetto, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo errore.

Element properties:

TargetMicrosoft.AIX.6.1.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Rilevato SU to Root riuscito
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.AIX.6.1.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SU True -->

    <!-- [INPUT] Oct 30 19:03:24 scxaix1 auth|security:notice su: from ccrammo to root at /dev/pts/1 -->

    <!-- [INPUT-MISS] Oct 30 19:04:55 scxaix1 auth|security:notice su: from root to ccrammo at /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]su: from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.6.1.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>