Règle de collecte d'événements pour la modification du mot de passe en échec.
Une opération de modification de mot de passe ayant échoué a été détectée dans les fichiers journaux système.
Cette règle est désactivée par défaut. Elle peut être activée avec une substitution ciblant une instance spécifique de Universal Linux, toutes les instances de Universal Linux ou un groupe d'instances Universal Linux. Si cette règle est activée, le paramètre RegExpFilter doit être remplacé par un modèle d'expression régulière correspondant à la version et au système d'exploitation Linux cible. Les messages du journal système pour des conditions spécifiques peuvent varier entre les systèmes d'exploitation et versions.
La modification d'un mot de passe sur le système a échoué. Cette analyse permet aux administrateurs système de suivre les modifications de mots de passe.
La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur l'événement survenu. Si l'activité paraît suspecte, consultez les détails des événements connexes ou de tout autre événement survenu à peu près au même moment.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Password.Change.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 Password False -->
<!-- [INPUT] Oct 5 08:24:59 scxcrd-rhel6-01 passwd: pam_unix(passwd:chauthtok): authentication failure; logname= uid=503 euid=0 tty=pts/0 ruser= rhost= user=jeffcof -->
<!-- [EXPECTED] date="Oct 5 08:24:59"; hostname="scxcrd-rhel6-01"; process="passwd"; subSystem="pam_unix"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd: \S+\(\S+\): authentication failure; logname=.* user=\S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(\S+\): authentication failure; logname=.* user=(?'clientUser'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefOverrides>sessionName="Password not changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>