Regra para recolher eventos relativos à falha de início de sessão na consola
Foi detetada uma operação de início de sessão na consola sem êxito nos ficheiros de registo do sistema.
Não foi concedido ao utilizador acesso ao sistema através da consola do sistema. Este monitor permite aos administradores de sistema controlar a utilização da consola do sistema.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o evento encontrado. Se a atividade parecer suspeita, verifique os detalhes do evento associado e quaisquer outros eventos que aconteceram à volta da hora deste evento.
Target | Microsoft.ACS.Linux.RHEL.7.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat7 ConsoleLogin False -->
<!-- [INPUT] Sep 16 14:03:36 ostcdev64-rhel7-10 login: FAILED LOGIN 2 FROM tty1 FOR root, Authentication failure -->
<!-- [EXPECTED] date="Sep 14:03:36"; hostname="ostcdev64-rhel7-10"; process="login"; subSystem="pam_unix"; user="root" -->
<RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+ FOR \S+."</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+ FOR (?'user'\S+),</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>