Regel för att samla in händelser för misslyckad konsolinloggning
En misslyckad konsolinloggningsåtgärd har upptäckts i systemloggfilerna.
Som standard är den här regeln inaktiverad. Den kan aktiveras med en åsidosättning med inriktning på en specifik Universal Linux-instans, alla Universal Linux-instanser eller en grupp av Universal Linux-instanser. Om den här regeln är aktiverad bör RegExpFilter-parametern åsidosättas av ett mönster från ett reguljärt uttryck som passar för Linux-operativsystemet och versionen. Systemloggmeddelanden för specifika förhållanden kan variera mellan olika operativsystem och versioner.
En användare har inte beviljats åtkomst till systemet via systemkonsolen. Den här övervakaren gör det möjligt för systemadministratörer att spåra användningen av systemkonsolen.
Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om aktiviteten verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Console.Login.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 ConsoleLogin False -->
<!-- [INPUT] Oct 5 08:40:57 jeffcof-rh6 login: FAILED LOGIN 1 FROM (null) FOR jeffcof, Authentication failure -->
<!-- [EXPECTED] date="Oct 5 08:40:57"; hostname="jeffcof-rh6"; process="login"; user="jeffcof" -->
<RegExpFilter>\s+login: FAILED LOGIN [[:digit:]]+ FROM \(null\) FOR \S+,</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'login): FAILED LOGIN \d+ FROM \(null\) FOR (?'user'\S+),</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
</WriteAction>
</WriteActions>
</Rule>