Home
  •  

Error de inicio de sesión en la consola (Red Hat Enterprise Linux Server 7)

Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed (Rule)

Regla para recopilar eventos de inicio de sesión incorrecto en la consola

Knowledge Base article:

Resumen

Se ha detectado un error de operación de inicio de sesión en consola en los archivos de registro del sistema.

Causas

No se concedió al usuario acceso al sistema a través de la consola del sistema. Este monitor permite a los administradores del sistema realizar un seguimiento del uso de la consola del sistema.

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.ACS.Linux.RHEL.7.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.RHEL.7.Console.Login.Failed" Enabled="true" Target="Microsoft.ACS.Linux.RHEL.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat7 ConsoleLogin False -->

      <!-- [INPUT] Sep 16 14:03:36 ostcdev64-rhel7-10 login: FAILED LOGIN 2 FROM tty1 FOR root, Authentication failure -->

      <!-- [EXPECTED] date="Sep 14:03:36"; hostname="ostcdev64-rhel7-10"; process="login"; subSystem="pam_unix"; user="root" -->

      <RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+ FOR \S+."</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+ FOR (?'user'\S+),</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>