Mit dieser Regel werden Ereignisse für erfolgreiche Kennwortänderungen des Nicht-root-Benutzers erfasst.
Ein erfolgreicher Vorgang zur Kennwortänderung durch ein Benutzerkonto wurde in den Systemprotokolldateien ermittelt.
Ein Kennwort wurde erfolgreich im System geändert. Mit diesem Monitor können Systemadministratoren Kennwortänderungen überwachen.
Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Ereignis. Wenn diese Aktivität verdächtig erscheint, überprüfen Sie die entsprechenden Ereignisdetails und alle übrigen Ereignisse, die zum Ereigniszeitpunkt aufgetreten sind.
Target | Microsoft.ACS.Linux.SLES.11.ACSEndPoint |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.SLES.11.Password.Change.From.User.Succeeded" Enabled="true" Target="Microsoft.ACS.Linux.SLES.11.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/messages</LogFile>
<!-- [TYPE] SUSE Password True -->
<!-- [INPUT] Oct 19 09:58:36 scxcr-sles11-03 passwd[5589]: password changed - account=jeffcof, uid=1005, by=1005 -->
<!-- [EXPECTED] date="Oct 19 09:58:36"; hostname="scxcr-sles11-03"; process="passwd"; processId="5589"; user="jeffcof"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd\[[[:digit:]]+\]: password changed - account=\S+,</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd)\[(?'processId'\d+)\]: password changed - account=(?=(?'clientUser'\S+),)(?'user'\S+), uid=\d+, by=(?!0)\d+</RegExp>
<EventType>1</EventType>
<EventId>27004</EventId>
<BackrefOverrides>sessionName="Password changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>