Home
  •  

Falha no início de sessão na consola (Servidor Red Hat Enterprise Linux 7)

Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed (Rule)

Regra para recolher eventos relativos à falha de início de sessão na consola

Knowledge Base article:

Resumo

Foi detetada uma operação de início de sessão na consola sem êxito nos ficheiros de registo do sistema.

Causas

Não foi concedido ao utilizador acesso ao sistema através da consola do sistema. Este monitor permite aos administradores de sistema controlar a utilização da consola do sistema.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.

Element properties:

TargetMicrosoft.ACS.Linux.RHEL.7.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat7 ConsoleLogin False -->

      <!-- [INPUT] Sep 16 14:03:36 ostcdev64-rhel7-10 login: FAILED LOGIN 2 FROM tty1 FOR root, Authentication failure -->

      <!-- [EXPECTED] date="Sep 14:03:36"; hostname="ostcdev64-rhel7-10"; process="login"; subSystem="pam_unix"; user="root" -->

      <RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+ FOR \S+."</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+ FOR (?'user'\S+),</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>