File: nxlog_windows.rules

package info (click to toggle)
prelude-lml-rules 5.2.0-1
  • links: PTS, VCS
  • area: main
  • in suites: bookworm, bullseye, forky, trixie
  • size: 1,032 kB
  • sloc: perl: 27; makefile: 2
file content (41 lines) | stat: -rw-r--r-- 5,713 bytes parent folder | download | duplicates (2) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
 
#FULLNAME: NXLog Windows
#VERSION: 1.0
#DESCRIPTION: NXLOG is a universal log collector and forwarder supporting different platforms (BSD, Unix, Linux, Windows, Android), log sources and protocols (Syslog, Windows EventLog, Graylog2 GELF, XML, JSON, CSV and more)

#####
#
# This file is part of the Prelude-LML program.
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; either version 2, or (at your option)
# any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License along
# with this program; if not, write to the Free Software Foundation, Inc.,
# 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
#
#####

#DESCRIPTION:User account password has been changed
#CATEGORY:Account Management
#LOG:Aug  4 10:43:59 WIN-EDVLDBQ49OJ.rs.prelude MSWinEventLog        1       Security        644     Thu Aug 04 10:43:59 2016        4738    Microsoft-Windows-Security-Auditing     N/A     N/A     Success Audit   WIN-EDVLDBQ49OJ.rs.prelude      Gestion des comptes d’utilisateur               Un compte d’utilisateur a été modifié.    Sujet :   ID de sécurité :  S-1-5-7   Nom du compte :  ANONYMOUS LOGON   Domaine du compte :  AUTORITE NT   ID d’ouverture de session :  0x3e6    Compte cible :   ID de sécurité :  S-1-5-21-3077753346-2009837333-1327024817-1105   Nom du compte :  fpo   Domaine du compte :  RS    Attributs modifiés :   Nom du compte SAM : -   Nom complet :  -   Nom principal de l’utilisateur : -   Répertoire de base :  -   Lecteur de base :  -   Chemin d’accès au script :  -   Chemin d’accès au profil :  -   Stations de travail utilisateurs : -   Dernière modification du mot de passe le : 04/08/2016 10:43:59   Le compte expire le :  -   ID de groupe principal : -   Délégué autorisé : -   Ancienne valeur UAC :  -   Nouvelle valeur UAC :  -   Contrôle du compte d’utilisateur : -   Paramètres utilisateur : -   Historique SID :  -   Horaire d’accès :  -    Informations supplémentaires :   Privilèges:  -        12535
#LOG:Aug  4 10:43:59 WIN-EDVLDBQ49OJ.rs.prelude MSWinEventLog        1       Security        647     Thu Aug 04 10:43:59 2016        4738    Microsoft-Windows-Security-Auditing     N/A     N/A     Success Audit   WIN-EDVLDBQ49OJ.rs.prelude      Gestion des comptes d’utilisateur               Un compte d’utilisateur a été modifié.    Sujet :   ID de sécurité :  S-1-5-21-3077753346-2009837333-1327024817-500   Nom du compte :  Administrateur   Domaine du compte :  RS   ID d’ouverture de session :  0x5cba0    Compte cible :   ID de sécurité :  S-1-5-21-3077753346-2009837333-1327024817-1105   Nom du compte :  fpo   Domaine du compte :  RS    Attributs modifiés :   Nom du compte SAM : -   Nom complet :  -   Nom principal de l’utilisateur : -   Répertoire de base :  -   Lecteur de base :  -   Chemin d’accès au script :  -   Chemin d’accès au profil :  -   Stations de travail utilisateurs : -   Dernière modification du mot de passe le : -   Le compte expire le :  -   ID de groupe principal : -   Délégué autorisé : -   Ancienne valeur UAC :  0x15   Nouvelle valeur UAC :  0x211   Contrôle du compte d’utilisateur :     'Mot de passe non nécessaire' - Désactivé    'Ne pas faire expirer le mot de passe' - Activé   Paramètres utilisateur : -   Historique SID :  -   Horaire d’accès :  -    Informations supplémentaires :   Privilèges:  -      12538
#LOG:Aug  4 10:43:59 WIN-EDVLDBQ49OJ.rs.prelude MSWinEventLog        1       Security        648     Thu Aug 04 10:43:59 2016        4738    Microsoft-Windows-Security-Auditing     N/A     N/A     Success Audit   WIN-EDVLDBQ49OJ.rs.prelude      Gestion des comptes d’utilisateur               Un compte d’utilisateur a été modifié.    Sujet :   ID de sécurité :  S-1-5-21-3077753346-2009837333-1327024817-500   Nom du compte :  Administrateur   Domaine du compte :  RS   ID d’ouverture de session :  0x5cba0    Compte cible :   ID de sécurité :  S-1-5-21-3077753346-2009837333-1327024817-1105   Nom du compte :  fpo   Domaine du compte :  RS    Attributs modifiés :   Nom du compte SAM : -   Nom complet :  -   Nom principal de l’utilisateur : -   Répertoire de base :  -   Lecteur de base :  -   Chemin d’accès au script :  -   Chemin d’accès au profil :  -   Stations de travail utilisateurs : -   Dernière modification du mot de passe le : -   Le compte expire le :  -   ID de groupe principal : -   Délégué autorisé : -   Ancienne valeur UAC :  0x211   Nouvelle valeur UAC :  0x210   Contrôle du compte d’utilisateur :     Compte activé   Paramètres utilisateur : -   Historique SID :  -   Horaire d’accès :  -    Informations supplémentaires :   Privilèges:  -    12539
regex=MSWinEventLog.*Microsoft-Windows-Security-Auditing.*Success Audit\s+(\S+)\s+Gestion des comptes d.utilisateur.*Un compte d.utilisateur a .t. modifi.\..*Nom du compte.:\s*(.*[^ ])\s*Domaine du compte.*Nom du compte.:\s*(.*[^ ])\s*Domaine du compte; \
 id=110021; \
 revision=1; \
 classification.text=Password changed; \
 target(0).node.name=$1; \
 target(0).user.user_id(0).name=$2; \
 source(0).user.user_id(0).name=$3; \
 assessment.impact.severity=low; \
 assessment.impact.completion=succeeded; \
 assessment.impact.type=other; \
 assessment.impact.description=An user account password has been changed; \
 last