Home
  •  

Ogiltig konsolinloggning (SUSE Linux Enterprise Server 9)

Microsoft.ACS.Linux.SLES.9.Console.Invalid (Rule)

En regel för att samla in händelser för ogiltiga konsolinloggningar

Knowledge Base article:

Sammanfattning

En ogiltig konsolinloggning har upptäckts i systemloggfilerna.

Orsaker

En användare har inte beviljats åtkomst till systemet via systemkonsolen. Den här övervakaren gör det möjligt för systemadministratörer att spåra användningen av systemkonsolen.

Lösningar

Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om aktiviteten verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.

Element properties:

TargetMicrosoft.ACS.Linux.SLES.9.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.SLES.9.Console.Invalid" Enabled="true" Target="Microsoft.ACS.Linux.SLES.9.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <!-- [TYPE] SUSE ConsoleLogin False -->

      <!-- [INPUT] Oct 13 03:26:05 linux login[11713]: FAILED LOGIN 1 FROM /dev/tty2 FOR UNKNOWN, User not known to the underlying authentication module -->

      <!-- [INPUT] Oct 13 03:26:10 linux login[11713]: FAILED LOGIN 2 FROM /dev/tty2 FOR UNKNOWN, User not known to the underlying authentication module -->

      <!-- [INPUT] Oct 13 03:26:15 linux login[11713]: FAILED LOGIN SESSION FROM /dev/tty2 FOR UNKNOWN, User not known to the underlying authentication module -->

      <!-- [EXPECTED] date="Oct 13 03:26:05"; hostname="linux"; process="login"; processId="11713"; user="UNKNOWN" -->

      <!-- [EXPECTED] date="Oct 13 03:26:10"; hostname="linux"; process="login"; processId="11713"; user="UNKNOWN" -->

      <!-- [EXPECTED] date="Oct 13 03:26:15"; hostname="linux"; process="login"; processId="11713"; user="UNKNOWN" -->

      <RegExpFilter>login\[[[:digit:]]+\]: FAILED LOGIN.*FROM .* FOR UNKNOWN, User not known to the underlying authentication module</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login)\[(?'processId'\d+)\]: FAILED LOGIN.*FROM .* FOR (?'user'\S+), User not known to the underlying authentication module</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>