Home
  •  

Accesso alla console non valido (AIX 7)

Microsoft.ACS.AIX.7.Console.Invalid (Rule)

Regola per raccogliere gli eventi di accesso alla console non valido

Knowledge Base article:

Riepilogo

Nei file log di sistema è stato rilevato un tentativo di accesso non valido tramite la console di sistema.

Cause

Un utente ha tentato di accedere (con esito negativo) mediante la console di sistema.

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.

Element properties:

TargetMicrosoft.ACS.AIX.7.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.AIX.7.Console.Invalid" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <!-- [TYPE] AIX ConsoleLogin False -->

      <!-- [INPUT] Oct  5 13:22:23 scxomd-aix7-01 auth|security:info syslog: vty0: failed login attempt for UNKNOWN_USER -->

      <!-- [EXPECTED] date="Oct  5 13:22:23"; hostname="scxomd-aix7-01"; user="UNKNOWN_USER" -->

      <RegExpFilter>[[:space:]]+syslog: .*: failed login attempt for UNKNOWN_USER$</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+.*\s+syslog: (?!sshd).*: failed login attempt for (?'user'UNKNOWN_USER)$</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

      <BackrefDefaults>process="login"</BackrefDefaults>

    </WriteAction>

  </WriteActions>

</Rule>