Regola per raccogliere gli eventi di accesso alla console non riuscito
Nei file di registro di sistema è stata rilevata un'operazione di modifica della password non riuscita.
L'utente non ha ottenuto accesso al sistema tramite la console di sistema. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo della console di sistema.
La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.
Target | Microsoft.ACS.Linux.SLES.10.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.10.Console.Failed" Enabled="true" Target="Microsoft.ACS.Linux.SLES.10.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE ConsoleLogin False -->
<!-- [INPUT] Oct 12 15:27:30 sles-101-cjc login[11912]: FAILED LOGIN 1 FROM /dev/tty1 FOR ccrammo, Authentication failure -->
<!-- [INPUT] Oct 12 15:27:35 sles-101-cjc login[11912]: FAILED LOGIN 2 FROM /dev/tty1 FOR ccrammo, Authentication failure -->
<!-- [INPUT] Oct 12 15:27:40 sles-101-cjc login[11912]: FAILED LOGIN SESSION FROM /dev/tty1 FOR ccrammo, Authentication failure -->
<!-- [INPUT] Oct 12 15:27:29 sles-101-cjc login[9912]: FAILED LOGIN 1 FROM /dev/tty1 FOR root, Authentication failure -->
<!-- [INPUT] Oct 12 15:27:34 sles-101-cjc login[9912]: FAILED LOGIN 2 FROM /dev/tty1 FOR root, Authentication failure -->
<!-- [INPUT] Oct 12 15:27:39 sles-101-cjc login[9912]: FAILED LOGIN SESSION FROM /dev/tty1 FOR root, Authentication failure -->
<!-- [EXPECTED] date="Oct 12 15:27:30"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->
<!-- [EXPECTED] date="Oct 12 15:27:35"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->
<!-- [EXPECTED] date="Oct 12 15:27:40"; hostname="sles-101-cjc"; process="login"; processId="11912"; user="ccrammo" -->
<!-- [EXPECTED] date="Oct 12 15:27:29"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->
<!-- [EXPECTED] date="Oct 12 15:27:34"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->
<!-- [EXPECTED] date="Oct 12 15:27:39"; hostname="sles-101-cjc"; process="login"; processId="9912"; user="root" -->
<RegExpFilter>login\[[[:digit:]]+\]: FAILED LOGIN.*FROM .* FOR \S+, Authentication failure</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login)\[(?'processId'\d+)\]: FAILED LOGIN.*FROM .* FOR (?'user'\S+), Authentication failure</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>