成功“根命令 SU”消息警报规则。
系统日志文件中检测到成功的 'su' 命令。
默认情况下,此规则已禁用。 要启用此规则以进行监视,请使用替代来配置日志文件路径并启用该规则。 日志文件路径使用名为 LogFile 的可替代属性进行设置,并且必须将值设置为日志文件的完整路径,该日志文件将接收 syslog 配置中所定义的这些事件。 替代可用于为所有实例或特定实例或组更改参数值。
可能会授权用户访问特权帐户。 该规则允许系统管理员跟踪“su”使用率。
警报和/或输出数据项的描述包含有关遇到的事件的信息。 如果“su”使用率显得可疑,请检查关联的事件详细信息以及此事件时间附近发生的任何其他事件。
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SU True -->
<!-- [INPUT] Oct 29 17:38:01 scxsun12 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>