「SU 切換至 root 命令」成功訊息的警示規則。
在系統記錄檔中偵測到執行成功的 'su' 命令。
使用者可能已使用 'su' 提升權限獲得存取特殊權限帳戶的授權。 此警示規則可讓系統管理員追蹤 'su' 的使用狀況。
警示及/或輸出資料項目的描述包含所發生事件的資訊。 如果'su' 的使用狀況似乎有問題,請檢查相關聯的事件詳細資訊,以及與此事件同時間發生的其他任何事件。
Target | Microsoft.HPUX.11iv3.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] HP SU True -->
<!-- [INPUT] Nov 2 15:09:32 6E:scxhpr2 su: + 3 a-mitmor-root -->
<!-- [INPUT-MISS] Nov 2 15:09:49 6E:scxhpr2 su: + 3 a-mitmor-scxuser -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<RegExpFilter>[[:space:]]+su: \+ [[:digit:]]+ [^[:space:]]+-root</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>