Home
  •  

Niepowodzenie logowania za pomocą konsoli (uniwersalny system Linux)

Microsoft.ACS.Linux.Universal.Console.Login.Failed (Rule)

Zasada służąca do gromadzenia zdarzeń związanych z niepowodzeniem logowania za pomocą konsoli

Knowledge Base article:

Podsumowanie

W plikach dziennika systemowego wykryto niepomyślną operację logowania za pomocą konsoli.

Konfiguracja

Ta zasada jest domyślnie wyłączona. Można ją włączyć za pomocą wskazania zastąpienia określonego wystąpienia systemu uniwersalnego Linux, wszystkich wystąpień systemu uniwersalnego Linux lub grupy wystąpień systemu uniwersalnego Linux. Gdy ta reguła jest włączona, parametr RegExpFilter należy zastąpić wzorcem wyrażenia regularnego odpowiednim dla docelowego systemu operacyjnego Linux i jego wersji. Komunikaty dziennika systemowego dotyczące określonych warunków mogą się różnić między systemami operacyjnymi i wersjami.

Przyczyny

Użytkownik nie uzyskał dostępu do systemu za pośrednictwem konsoli systemowej. Ten monitor umożliwia administratorom systemu śledzenie korzystania z konsoli systemowej.

Rozwiązania

Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym zdarzeniu. Jeśli działanie wydaje się podejrzane, sprawdź szczegóły odpowiedniego zdarzenia oraz inne zdarzenia, które wystąpiły w bliskim czasie.

Element properties:

TargetMicrosoft.ACS.Linux.Universal.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <!-- [TYPE] Redhat6 ConsoleLogin False -->

      <!-- [INPUT] Oct  5 08:40:57 jeffcof-rh6 login: FAILED LOGIN 1 FROM (null) FOR jeffcof, Authentication failure -->

      <!-- [EXPECTED] date="Oct  5 08:40:57"; hostname="jeffcof-rh6"; process="login"; user="jeffcof" -->

      <RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \(null\) FOR \S+,</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \(null\) FOR (?'user'\S+),</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>