Home
  •  

SU Komut Hatası uyarı kuralı

Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Başarısız "Köke yönelik SU komutu" iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında başarısız bir 'su' komutu algılandı.

Nedenler

'Su' ayrıcalıklarını yükseltmek için başarısız bir girişim yapıldı. Bunun nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak, kalıcı bir hata şüpheli etkinliğin göstergesi olabilir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. 'Su' kullanımı şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.Linux.SLES.10.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Başarısız Kök'e yönelik SU algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SU False -->

    <!-- [INPUT] Dec 15 16:13:50 scxcrd-sle10-03 su: FAILED SU (to root) jeffcof on /dev/pts/1 -->

    <!-- [INPUT-MISS] Aug 17 14:39:55 scxcore-suse01 su: (to root) jeffcof on /dev/pts/6 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+su: FAILED SU \(to root\) \S+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>