Home
  •  

SU 명령 실패 경고 규칙

Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

"SU to root command" 실패 메시지에 대한 경고 규칙입니다.

Knowledge Base article:

요약

시스템 로그 파일에서 실패한 'su' 명령이 검색되었습니다.

구성

이 규칙은 기본적으로 비활성화되어 있습니다. 모니터링을 위해 이 규칙을 사용하도록 설정하려면 재정의를 사용하여 로그 파일 경로를 구성하고 규칙을 활성화합니다. 로그 파일 경로는 LogFile라는 재정의 속성으로 설정되고, 값은 syslog 구성에 정의된 대로 이러한 이벤트를 수신하는 로그 파일의 전체 경로와 일치해야 합니다. 모든 인스턴스나 특정 인스턴스 또는 그룹의 매개 변수 값을 변경하는 데 재정의를 사용할 수 있습니다.

원인

'su'로 권한을 상승하려는 시도가 실패했습니다. 잘못 입력된 암호나 잘못된 사용자 이름을 사용하려는 시도 때문일 수 있습니다. 그러나 지속적인 오류는 의심스러운 작업을 나타내는 것일 수 있습니다.

해결 방법

경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 이벤트에 대한 정보가 포함되어 있습니다. 'su' 사용이 의심스러워 보이면 관련된 이벤트 세부 정보와 이 오류와 비슷한 시기에 발생한 다른 이벤트를 확인하십시오.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
실패한 SU to Root 감지
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SU False -->

    <!-- [INPUT] Jun  2 14:21:14 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]su: BAD SU from [^[:space:]]+ to root at</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>