Prisma Cloud Compute アラート「(CIS_Amazon_Linux2_1.0.0 - 4.1.8)ログインおよびログアウト イベントが収集されていることを確認する」
2047
Created On 06/20/24 06:43 AM - Last Modified 01/03/25 10:09 AM
Symptom
- このコントロール「(CIS_Amazon_Linux2_1.0.0 - 4.1.8)ログインおよびログアウト イベントが収集されていることを確認する」が部分的に修正され、一部の行が欠落しているため、アラートが引き続きトリガーされる場合に、この問題が頻繁に発生します。
Environment
- プリズマクラウド
- プリズマクラウドコンピューティング
Cause
- これは、「ルール」が完全ではないためです。
Resolution
- 以下の行をファイルに追加してください: /etc/audit/audit.rules
-
-w /var/log/tallylog -p wa -k logins -w /var/run/faillock/ -p wa -k logins -w /var/log/lastlog -p wa -k logins
- 次に、以下のコマンドを使用してauditdサービスを再起動します。
-
#pkill -P 1-HUP auditd
- 次に、次のスキャンを待って、検出がなくなったかどうかを確認します。