Home
  •  

Início de sessão na consola inválido (AIX 7)

Microsoft.ACS.AIX.7.Console.Invalid (Rule)

Regra para recolher eventos de início de sessão na consola inválido

Knowledge Base article:

Resumo

Foi detetada, nos ficheiros de registo do sistema, uma tentativa inválida de início de sessão através da consola do sistema.

Causas

Um utilizador tentou iniciar sessão (sem êxito) através da consola do sistema.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.AIX.7.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.AIX.7.Console.Invalid" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <!-- [TYPE] AIX ConsoleLogin False -->

      <!-- [INPUT] Oct  5 13:22:23 scxomd-aix7-01 auth|security:info syslog: vty0: failed login attempt for UNKNOWN_USER -->

      <!-- [EXPECTED] date="Oct  5 13:22:23"; hostname="scxomd-aix7-01"; user="UNKNOWN_USER" -->

      <RegExpFilter>[[:space:]]+syslog: .*: failed login attempt for UNKNOWN_USER$</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+.*\s+syslog: (?!sshd).*: failed login attempt for (?'user'UNKNOWN_USER)$</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

      <BackrefDefaults>process="login"</BackrefDefaults>

    </WriteAction>

  </WriteActions>

</Rule>