debian/ossec-hids/var/ossec/rules/last_rootlogin_rules.xml

   1 <!-- Rules for detecting sensitive users in last logged in users list -->
   2 <!-- Set level 3 or higher at rule 535 in ossec_rules.xml and comment out <options>no_log</options> to get this working -->
   3
   4
   5 <group name="access-control,">
   6
   7   <rule id="25000" level="7">
   8     <if_sid>535</if_sid>
   9     <match>root|reboot|admin|superuser|administrator|supervisor|toor</match>
  10     <description>sensitive login detected</description>
  11   </rule>
  12
  13 </group>