Regel voor het verzamelen van gebeurtenissen voor een mislukte wachtwoordwijziging
Er is een mislukte wachtwoordwijziging aangetroffen in de logboekbestanden van het systeem.
Deze regel is standaard uitgeschakeld. De regel kan worden ingeschakeld met een overschrijving die gericht is op een specifiek exemplaar van Universal Linux, alle exemplaren van Universal Linux of een groep exemplaren van Universal Linux. Als deze regel wordt ingeschakeld, moet de parameter RegExpFilter worden overschreven met een reguliere-expressiepatroon dat geschikt is voor de bedoelde combinatie van Linux-besturingssysteem en versie. Systeemlogboekberichten voor specifieke condities kunnen variëren tussen besturingssystemen en versies.
Een poging om een wachtwoord te wijzigen op het systeem is mislukt. Deze monitor stelt systeembeheerders in staat wachtwoordwijzigingen bij te houden.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Password.Change.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 Password False -->
<!-- [INPUT] Oct 5 08:24:59 scxcrd-rhel6-01 passwd: pam_unix(passwd:chauthtok): authentication failure; logname= uid=503 euid=0 tty=pts/0 ruser= rhost= user=jeffcof -->
<!-- [EXPECTED] date="Oct 5 08:24:59"; hostname="scxcrd-rhel6-01"; process="passwd"; subSystem="pam_unix"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd: \S+\(\S+\): authentication failure; logname=.* user=\S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(\S+\): authentication failure; logname=.* user=(?'clientUser'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefOverrides>sessionName="Password not changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>