Правило сбора событий ошибки смены пароля
В файлах системного журнала обнаружена неуспешная операция изменения пароля.
Это правило по умолчанию отключено. Его можно включить с помощью переопределения, указав отдельные экземпляры универсального Linux, все экземпляры отдельные экземпляры универсального Linux или группу экземпляров универсального Linux. Если это правило включено, параметр RegExpFilter должен замещаться шаблоном регулярного выражения, подходящим для целевой ОС Linux и ее версии. Сообщения об отдельных проблемах в системном журнале могут зависеть от ОС и версии.
Пароль в системе не был изменен. Этот монитор дает администраторам возможность отслеживать изменение паролей.
В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если это действие выглядит подозрительно, просмотрите сведения о связанном событии и любых других событиях, произошедших примерно в то же время.
Target | Microsoft.ACS.Linux.Universal.ACSEndPoint |
Category | EventCollection |
Enabled | False |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
WA | WriteAction | Microsoft.ACS.Unix.SecureEventLogWriter | Default |
<Rule ID="Microsoft.ACS.Linux.Universal.Password.Change.Failed" Enabled="false" Target="Microsoft.ACS.Linux.Universal.ACSEndPoint" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>
<LogFile>/var/log/secure</LogFile>
<!-- [TYPE] Redhat6 Password False -->
<!-- [INPUT] Oct 5 08:24:59 scxcrd-rhel6-01 passwd: pam_unix(passwd:chauthtok): authentication failure; logname= uid=503 euid=0 tty=pts/0 ruser= rhost= user=jeffcof -->
<!-- [EXPECTED] date="Oct 5 08:24:59"; hostname="scxcrd-rhel6-01"; process="passwd"; subSystem="pam_unix"; clientUser="jeffcof" -->
<RegExpFilter>\s+passwd: \S+\(\S+\): authentication failure; logname=.* user=\S+</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">
<RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd): (?'subSystem'\S+)\(\S+\): authentication failure; logname=.* user=(?'clientUser'\S+)</RegExp>
<EventType>0</EventType>
<EventId>27003</EventId>
<BackrefOverrides>sessionName="Password not changed"</BackrefOverrides>
</WriteAction>
</WriteActions>
</Rule>