aurore-logs/roles/logstash/templates/sudo.conf.j2

21 lines
No EOL
966 B
Django/Jinja

{{ ansible_managed | comment }}
filter {
if [program] == "sudo" and [facility] == "authpriv" {
grok {
# FIXME: ce n'est pas sûr du tout : en effet, la commande exécutée peut
# contenir dans ses arguments "COMMAND=" et le champ PWD peut aussi contenir
# " ; COMMAND=".
# Par exemple, en se plaçant dans des répertoires imbriqués "Documents ; USER=jeltz ; COMMAND=/bin/ls",
# on obtient :
# jeltz : TTY=pts/0 ; PWD=/home/jeltz/Documents ; COMMAND=/bin/ls ; USER=root ; COMMAND=/usr/bin/id
# La seule façon de gérer ça que je vois, c'est de lever une alerte Kibana lorsque sudo_command ou sudo_pwd
# contient "; COMMAND=" ou " ; USER=".
match => {
"message" => "^ *%{USERNAME:sudo_user} : TTY=%{DATA:sudo_tty} ; PWD=%{DATA:sudo_pwd} ; USER=%{USERNAME:sudo_elevated_user} ; COMMAND=%{DATA:sudo_command}$"
}
add_tag => ["sudo", "sudo_command"]
tag_on_failure => []
}
}
}