Home
  •  

Échec de la connexion de la console (Universal Linux)

Microsoft.ACS.Linux.Universal.Console.Login.Failed (Rule)

Règle de collecte d'événements pour la connexion à la console en échec.

Knowledge Base article:

Résumé

Une opération de connexion à la console ayant échoué a été détectée dans les fichiers journaux système.

Configuration

Cette règle est désactivée par défaut. Elle peut être activée avec une substitution ciblant une instance spécifique de Universal Linux, toutes les instances de Universal Linux ou un groupe d'instances Universal Linux. Si cette règle est activée, le paramètre RegExpFilter doit être remplacé par un modèle d'expression régulière correspondant à la version et au système d'exploitation Linux cible. Les messages du journal système pour des conditions spécifiques peuvent varier entre les systèmes d'exploitation et versions.

Causes

L'utilisateur n'a pas été autorisé à accéder au système via la console système. Cette analyse permet aux administrateurs système de suivre l'utilisation de la console système.

Résolutions

La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'activité paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 ConsoleLogin False -->

      <!-- [INPUT] Oct  5 08:40:57 jeffcof-rh6 login: FAILED LOGIN 1 FROM (null) FOR jeffcof, Authentication failure -->

      <!-- [EXPECTED] date="Oct  5 08:40:57"; hostname="jeffcof-rh6"; process="login"; user="jeffcof" -->

      <!-- [TYPE] Redhat8 ConsoleLogin False -->

      <!-- Nov  8 03:08:57 ost64-rh8-02 gdm-password][49341]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=root -->

      <RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \S+FOR \S+,|\s+gdm-password\]\[[[:digit:]]+\]: \S+\(\S+\): authentication failure; logname=\S* .* user=\S+</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \S+FOR (?'user'\S+),|(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'gdm-password)\]\[*(?'processId'\d*)\]*: (?'subSystem'\S+)\(\S+\): authentication failure; logname=(?'user'\S*) .* user=(?'clientUser'\S+)</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>