Home
  •  

SU Komut Başarısı uyarı kuralı

Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Başarılı "Köke yönelik SU komutu" iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.

Nedenler

Kullanıcılara 'su' yükseltmesi ile ayrıcalıklı hesaplara erişim imkanı verilmiş olabilir. Bu uyarı kuralı, sistem yöneticilerinin 'su' kullanımını izlemelerine olanak verir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. 'Su' kullanımı şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.Linux.SLES.11.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Başarılı Kök'e yönelik SU algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SU True -->

    <!-- [INPUT] Nov 30 03:36:38 scxcr-sles11-03 su: (to root) jonas on /dev/pts/2 -->

    <!-- [INPUT-MISS] Nov 30 03:36:38 scxcr-sles11-03 su: (to jeffcof) jonas on /dev/pts/2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+su: \(to root\) \S+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>