Home
  •  

Přihlášení prostřednictvím konzoly se nezdařilo (Universal Linux)

Microsoft.ACS.Linux.Universal.Console.Login.Failed (Rule)

Pravidlo shromažďování událostí neúspěšného přihlášení prostřednictvím konzoly

Knowledge Base article:

Souhrn

V souborech systémových protokolů byla zjištěna neúspěšná operace přihlášení prostřednictvím konzoly.

Konfigurace

Ve výchozím nastavení je toto pravidlo zakázáno. Může být povoleno přepsáním zacíleným na konkrétní instanci systému Universal Linux, na všechny instance systému Universal Linux, nebo na skupinu instancí systému Universal Linux. Pokud je toto pravidlo aktivní, pak by měl být parametr RegExpFilter přepsán pomocí vzorce regulárního výrazu, který je vhodný pro cílový operační systém Linux a verzi. Zprávy systémového protokolu se za určitých podmínek mohou lišit podle operačních systémů a verzí.

Příčiny

Uživateli nebyl udělen přístup k systému prostřednictvím systémové konzoly. Toto monitorování umožňuje správcům systémů sledovat používání systémové konzoly.

Řešení

Popis výstrahy a/nebo položky výstupních dat obsahuje informace o vzniklé události. Pokud je tato činnost podezřelá, zkontrolujte přidružené podrobnosti události a všechny ostatní události, které se vyskytly přibližně v době této události.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 ConsoleLogin False -->

      <!-- [INPUT] Oct  5 08:40:57 jeffcof-rh6 login: FAILED LOGIN 1 FROM (null) FOR jeffcof, Authentication failure -->

      <!-- [EXPECTED] date="Oct  5 08:40:57"; hostname="jeffcof-rh6"; process="login"; user="jeffcof" -->

      <!-- [TYPE] Redhat8 ConsoleLogin False -->

      <!-- Nov  8 03:08:57 ost64-rh8-02 gdm-password][49341]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=root -->

      <RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+FOR \S+,|\s+gdm-password\]\[[[:digit:]]+\]: \S+\(\S+\): authentication failure; logname=\S* .* user=\S+</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+FOR (?'user'\S+),|(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'gdm-password)\]\[*(?'processId'\d*)\]*: (?'subSystem'\S+)\(\S+\): authentication failure; logname=(?'user'\S*) .* user=(?'clientUser'\S+)</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>