Home
  •  

SU Komutu Başarısı Uyarı Kuralı

Microsoft.Solaris.11.LogFile.Syslog.SU.Command.Root.Success.Alert (Rule)

Başarılı "Köke yönelik SU komutu" iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında başarılı bir 'su' komutu algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.

Nedenler

Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu kural sistem yöneticilerine 'su' kullanımını izleme izni verir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. 'Su' kullanımı şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.Solaris.11.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Başarılı Kök'e yönelik SU algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.SU.Command.Root.Success.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SU True -->

    <!-- [INPUT] Nov 30 16:01:05 jeffcof-sol11-x86 su: [ID 366847 auth.notice] 'su root' succeeded for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+su: \[.*\] \'su root\' succeeded for [^[:space:]]+ on</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.SU.Command.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>