Prisma Cloud Compute Alert On "(CIS_Amazon_Linux2_1.0.0 - 4.1.8) 로그인 및 로그아웃 이벤트가 수집되는지 확인하세요"
2049
Created On 06/20/24 06:43 AM - Last Modified 01/03/25 10:12 AM
Symptom
- "(CIS_Amazon_Linux2_1.0.0 - 4.1.8) 로그인 및 로그아웃 이벤트 수집 보장" 컨트롤이 부분적으로 수정되어 몇몇 줄이 누락되어 알림 계속 발생하는 경우가 많습니다.
Environment
- 프리즈마 클라우드
- 프리즈마 클라우드 컴퓨팅
Cause
- 이는 "audits. 규칙"이 완전하지 않기 때문입니다.
Resolution
- 다음 줄을 파일에 추가하세요: /etc/audit/audit.rules
-
-w /var/log/tallylog -p wa -k logins -w /var/run/faillock/ -p wa -k logins -w /var/log/lastlog -p wa -k logins
- 그런 다음 아래 명령을 사용하여 auditd 서비스를 다시 시작합니다.
-
#pkill -P 1-HUP auditd
- 그런 다음 다음 검사를 기다려서 감지가 사라졌는지 확인합니다.