Başarısız konsol oturumu açma olaylarını toplayan kural
Sistem günlük dosyalarında sistem konsolu ile yapılan başarısız bir oturumu açma denemesi algılandı.
Bir kullanıcı sistem konsolu ile (başarısız bir şekilde) oturum açmayı denedi.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Aktivite şüpheli görünüyorsa, lütfen ilişkili olay ayrıntılarını ve bu olayın gerçekleştiği zaman olan diğer olayları kontrol edin.
Target | Microsoft.ACS.AIX.6.1.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.AIX.6.1.Console.Failed" Enabled="false" Target="Microsoft.ACS.AIX.6.1.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<!-- [TYPE] AIX ConsoleLogin False -->
<!-- [INPUT] Nov 12 12:30:55 scxaix3-5 auth|security:info syslog: vty0: failed login attempt for ccrammo -->
<!-- [EXPECTED] date="Nov 12 12:30:55"; hostname="scxaix3-5"; user="ccrammo"; -->
<!-- [INPUT] Nov 12 12:30:57 scxaix3-5 auth|security:info syslog: vty0: failed login attempt for root -->
<!-- [EXPECTED] date="Nov 12 12:30:57"; hostname="scxaix3-5"; user="root"; -->
<RegExpFilter>[[:space:]]+syslog: .*: failed login attempt for [^[:space:]]+$</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+).*\s+syslog: (?!sshd).*: failed login attempt for (?!UNKNOWN_USER)(?'user'(?!UNKNOWN_USER)\S+)$</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefDefaults>process="login"</BackrefDefaults>
</WriteAction>
</WriteActions>
</Rule>