You cannot select more than 25 topics
Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
21 lines
966 B
Django/Jinja
21 lines
966 B
Django/Jinja
{{ ansible_managed | comment }}
|
|
|
|
filter {
|
|
if [program] == "sudo" and [facility] == "authpriv" {
|
|
grok {
|
|
# FIXME: ce n'est pas sûr du tout : en effet, la commande exécutée peut
|
|
# contenir dans ses arguments "COMMAND=" et le champ PWD peut aussi contenir
|
|
# " ; COMMAND=".
|
|
# Par exemple, en se plaçant dans des répertoires imbriqués "Documents ; USER=jeltz ; COMMAND=/bin/ls",
|
|
# on obtient :
|
|
# jeltz : TTY=pts/0 ; PWD=/home/jeltz/Documents ; COMMAND=/bin/ls ; USER=root ; COMMAND=/usr/bin/id
|
|
# La seule façon de gérer ça que je vois, c'est de lever une alerte Kibana lorsque sudo_command ou sudo_pwd
|
|
# contient "; COMMAND=" ou " ; USER=".
|
|
match => {
|
|
"message" => "^ *%{USERNAME:sudo_user} : TTY=%{DATA:sudo_tty} ; PWD=%{DATA:sudo_pwd} ; USER=%{USERNAME:sudo_elevated_user} ; COMMAND=%{DATA:sudo_command}$"
|
|
}
|
|
add_tag => ["sudo", "sudo_command"]
|
|
tag_on_failure => []
|
|
}
|
|
}
|
|
} |