Home
  •  

SU コマンド成功アラート ルール

Microsoft.HPUX.11iv2.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

SU to root コマンド メッセージの成功のアラート ルール

Knowledge Base article:

概要

成功した su コマンドがシステム ログ ファイルで検出されました。

原因

ユーザーが、特権アカウントへのアクセス許可を付与されている可能性があります。このモニタは、システム管理者が su コマンドの使用を追跡できるようにします。

解決方法

アラートや出力データ アイテムの説明には、発生したイベントに関する情報が含まれています。su の使用方法に疑問がある場合は、関連イベントの詳細およびこのイベントとほぼ同時刻に発生したその他のイベントを確認してください。

Element properties:

TargetMicrosoft.HPUX.11iv2.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
SU to root の成功が検出されました
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.HPUX.11iv2.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.HPUX.11iv2.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/syslog/syslog.log</LogFile>

      <RegExpFilter>.*su:.*\+.*\-root.*</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv2.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>