Re: [ossec-list] Ossec Windows rules 18111

[Hugo Deprez]

Yes, :

Portion of the log(s):

 WinEvtLog: Security: AUDIT_SUCCESS(642): Security: SYSTEM: AUTORITE NT:
SERVER: Compte d'utilisateur modifié :      Nom de compte cible :
hugo.deprez      Domaine cible : SERVER Id. de compte cible :
%{S-1-5-21-1226384103-2184330756-182127828-1014}      Utilisateur appelant
: SERVER$      Domaine appelant : WORKGROUP      Id. de session de
l'appelant : (0x0,0x3E7)      Privilèges : -    Attributs modifiés :      Nom
du compte SAM : hugo.deprez      Nom affiché : hugo.deprez      Nom
principal utilisateur : -      Répertoire de base : %%1793      Lecteur de
base : %%1793      Chemin d'accès au script : %%1793      Chemin d'accès au
profil : %%1793      Stations de travail utilisateur : %%1793      Dernière
modification du mot de passe le : 06/03/2012 13:29:30      Le compte expire
le : %%1794      ID de groupe principal : 513      Délégué autorisé : -
Précédente valeur UAC : 0xCCEE0      Nouvelle valeur UAC : 0xCCEE0
 Contrôle
du compte utilisateur (

 UAC) : -      Paramètres utilisateurs : -      Historique SID : -      Heures
d'ouverture de session : %%1792

Regards,

Hugo

On 6 March 2012 12:53, dan (ddp) <ddp...@gmail.com> wrote:

> Out of curiosity, can you provide a log message?
>
> On Mon, Mar 5, 2012 at 11:20 AM, Hugo Deprez <hugo.dep...@gmail.com>
> wrote:
> > Dear community,
> >
> > I do have a mail each time a user connect to a windows server.
> > I get an alert with regards to :
> >
> > Rule: 18111 fired (level 8) -> "User account changed."
> >
> > The alert is related to 642 is reporting that the account was changed.
> But
> > in fact, I do have an event like this at each login.
> >
> > I am using pgina for ldap authentification. Does anyone encounter this
> king
> > of issue ?
> >
> > Regards,
> >
> >
> >
> >
> >
> >
> >
> >
>