Accesso alla console non riuscito (SUSE Linux Enterprise Server 10)

Microsoft.ACS.Linux.SLES.10.Console.Failed (Rule)

Regola per raccogliere gli eventi di accesso alla console non riuscito

Knowledge Base article:

Riepilogo

Nei file di registro di sistema è stata rilevata un'operazione di modifica della password non riuscita.

Cause

L'utente non ha ottenuto accesso al sistema tramite la console di sistema. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo della console di sistema.

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.

Element properties:

Target	Microsoft.ACS.Linux.SLES.10.ACSEndPoint
Category	EventCollection
Enabled	True
Alert Generate	False
Remotable	True

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Privileged.Datasource	Default
WA	WriteAction	Microsoft.ACS.Unix.SecureEventLogWriter	Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.SLES.10.Console.Failed" Enabled="true" Target="Microsoft.ACS.Linux.SLES.10.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <!-- [TYPE] SUSE ConsoleLogin False -->

      <!-- [INPUT] Oct 12 15:27:30 sles-101-cjc login[11912]: FAILED LOGIN 1 FROM /dev/tty1 FOR ccrammo, Authentication failure -->

      <!-- [INPUT] Oct 12 15:27:35 sles-101-cjc login[11912]: FAILED LOGIN 2 FROM /dev/tty1 FOR ccrammo, Authentication failure -->

      <!-- [INPUT] Oct 12 15:27:40 sles-101-cjc login[11912]: FAILED LOGIN SESSION FROM /dev/tty1 FOR ccrammo, Authentication failure -->

      <!-- [INPUT] Oct 12 15:27:29 sles-101-cjc login[9912]: FAILED LOGIN 1 FROM /dev/tty1 FOR root, Authentication failure -->

      <!-- [INPUT] Oct 12 15:27:34 sles-101-cjc login[9912]: FAILED LOGIN 2 FROM /dev/tty1 FOR root, Authentication failure -->

      <!-- [INPUT] Oct 12 15:27:39 sles-101-cjc login[9912]: FAILED LOGIN SESSION FROM /dev/tty1 FOR root, Authentication failure -->

      <!-- [EXPECTED] date="Oct 12 15:27:30"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->

      <!-- [EXPECTED] date="Oct 12 15:27:35"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->

      <!-- [EXPECTED] date="Oct 12 15:27:40"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->

      <!-- [EXPECTED] date="Oct 12 15:27:29"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->

      <!-- [EXPECTED] date="Oct 12 15:27:34"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->

      <!-- [EXPECTED] date="Oct 12 15:27:39"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->

      <RegExpFilter>login\[[[:digit:]]+\]: FAILED LOGIN.*FROM .* FOR \S+, Authentication failure</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login)\[(?'processId'\d+)\]: FAILED LOGIN.*FROM .* FOR (?'user'\S+), Authentication failure</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>