aurore-logs/roles/logstash/templates/sudo.conf.j2

{{ ansible_managed | comment }}

filter {
	if [program] == "sudo" and [facility] == "authpriv" {
    grok {
      # FIXME: ce n'est pas sûr du tout : en effet, la commande exécutée peut
      # contenir dans ses arguments "COMMAND=" et le champ PWD peut aussi contenir
      # " ; COMMAND=".
      # Par exemple, en se plaçant dans des répertoires imbriqués "Documents ; USER=jeltz ; COMMAND=/bin/ls",
      # on obtient :
      #  jeltz : TTY=pts/0 ; PWD=/home/jeltz/Documents ; COMMAND=/bin/ls ; USER=root ; COMMAND=/usr/bin/id
      # La seule façon de gérer ça que je vois, c'est de lever une alerte Kibana lorsque sudo_command ou sudo_pwd
      # contient "; COMMAND=" ou " ; USER=".
      match => {
        "message" => "^ *%{USERNAME:sudo_user} : TTY=%{DATA:sudo_tty} ; PWD=%{DATA:sudo_pwd} ; USER=%{USERNAME:sudo_elevated_user} ; COMMAND=%{DATA:sudo_command}$"
      }
      add_tag => ["sudo", "sudo_command"]
      tag_on_failure => []
    }
	}
}
Publication de la configuration. 2020-09-19 21:39:57 +02:00			`{{ ansible_managed \| comment }}`

			`filter {`
			`if [program] == "sudo" and [facility] == "authpriv" {`
			`grok {`
			`# FIXME: ce n'est pas sûr du tout : en effet, la commande exécutée peut`
			`# contenir dans ses arguments "COMMAND=" et le champ PWD peut aussi contenir`
			`# " ; COMMAND=".`
			`# Par exemple, en se plaçant dans des répertoires imbriqués "Documents ; USER=jeltz ; COMMAND=/bin/ls",`
			`# on obtient :`
			`# jeltz : TTY=pts/0 ; PWD=/home/jeltz/Documents ; COMMAND=/bin/ls ; USER=root ; COMMAND=/usr/bin/id`
			`# La seule façon de gérer ça que je vois, c'est de lever une alerte Kibana lorsque sudo_command ou sudo_pwd`
			`# contient "; COMMAND=" ou " ; USER=".`
			`match => {`
			`"message" => "^ *%{USERNAME:sudo_user} : TTY=%{DATA:sudo_tty} ; PWD=%{DATA:sudo_pwd} ; USER=%{USERNAME:sudo_elevated_user} ; COMMAND=%{DATA:sudo_command}$"`
			`}`
			`add_tag => ["sudo", "sudo_command"]`
			`tag_on_failure => []`
			`}`
			`}`
			`}`