Regel voor het verzamelen van gebeurtenissen voor ongeldige console-aanmelding
Er is een ongeldige aanmeldingspoging via de systeemconsole aangetroffen in de logboekbestanden van het systeem.
Een gebruiker probeerde zich (tevergeefs) aan te melden via de systeemconsole.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.AIX.7.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.AIX.7.Console.Invalid" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<!-- [TYPE] AIX ConsoleLogin False -->
<!-- [INPUT] Oct 5 13:22:23 scxomd-aix7-01 auth|security:info syslog: vty0: failed login attempt for UNKNOWN_USER -->
<!-- [EXPECTED] date="Oct 5 13:22:23"; hostname="scxomd-aix7-01"; user="UNKNOWN_USER" -->
<RegExpFilter>[[:space:]]+syslog: .*: failed login attempt for UNKNOWN_USER$</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+.*\s+syslog: (?!sshd).*: failed login attempt for (?'user'UNKNOWN_USER)$</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefDefaults>process="login"</BackrefDefaults>
</WriteAction>
</WriteActions>
</Rule>