debian/ossec-hids/usr/share/doc/ossec-hids/contrib/ossec-testing/tests/dovecot.ini

   1 [auth failed]
   2 log 1 pass = Dec 19 06:21:06 ny dovecot: imap-login: Disconnected (auth failed, 7 attempts in 111 secs): user=<thousands>, method=PLAIN, rip=109.201.200.201, lip=67.205.141.203, session=<+hgd5vxDBMZtycjJ>
   3 log 2 pass = Jan 11 03:45:09 hostname dovecot: auth-worker(default): sql(username,1.2.3.4): unknown user
   4 log 3 pass = Jan 11 03:42:09 hostname dovecot: auth(default): pam(user@example.com,1.2.3.4): pam_authenticate() failed: User not known to the underlying authentication module
   5
   6 rule = 9705
   7 alert = 5
   8 decoder = dovecot
   9
  10 [dovecot is starting]
  11 log 1 pass = Jun 17 10:15:24 hostname dovecot: Dovecot v1.2.rc3 starting up (core dumps disabled)
  12
  13 rule = 9703
  14 alert = 3
  15 decoder = dovecot
  16
  17 [fatal error]
  18 log 1 pass = Jun 17 10:15:24 hostname dovecot: Fatal: auth(default): Support not compiled in for passdb driver 'ldap'
  19 log 2 pass = Jun 17 10:15:24 hostname dovecot: Fatal: Auth process died too early - shutting down
  20
  21 rule = 9704
  22 alert = 2
  23 decoder = dovecot
  24
  25 [user authentication failure]
  26 log 1 pass = Jun 23 15:04:05 Info: imap-login: Login: user=<username>, method=PLAIN, rip=1.2.3.4, lip=1.2.3.5 Authentication Failure:
  27
  28 rule = 9770
  29 alert = 0
  30 decoder = dovecot-info
  31
  32 [dovecot auth failed]
  33 log 1 pass = Jan 11 03:42:09 hostname dovecot: auth-worker(default): sql(user@example.com,1.2.3.4): Password mismatch
  34
  35 rule = 9702
  36 alert = 5
  37 decoder = dovecot
  38
  39 [XXX nothing]
  40 log 1 fail = Jan 07 14:46:28 Warn: auth(default): userdb(username,::ffff:127.0.0.1): user not found from userdb
  41 log 3 fail = May 31 09:43:57 Info: pop3-login: Aborted login (1 authentication attempts): user=<username>, method=PLAIN, rip=::ffff:1.2.3.4, lip=::ffff:1.2.3.5, secured
  42
  43 rule = 1002
  44 alert = 2
  45 decoder =
  46
  47 [XXX unknown 1002]
  48 log 1 pass = Mar 13 15:25:07 Info: auth(default): pam(user@example.com,::ffff:1.2.3.4): pam_authenticate() failed: User not known to the underlying authentication module
  49
  50 rule = 9771
  51 alert = 5
  52 decoder = dovecot-info
  53
  54 [session disconnected]
  55 log 1 pass = Jul  4 17:30:51 hostname dovecot[2992]: pop3-login: Disconnected: rip=1.2.3.4, lip=1.2.3.5
  56
  57 rule = 9706
  58 alert = 3
  59 decoder = dovecot
  60
  61 [aborted login]
  62 log 1 pass = Jan 30 09:37:55 hostname dovecot: pop3-login: Aborted login: user=<username>, method=PLAIN, rip=::ffff:1.2.3.4, lip=::ffff:1.2.3.5
  63
  64 rule = 9707
  65 alert = 5
  66 decoder = dovecot
  67
  68 [XXX logged out]
  69 log 1 fail = Jun 23 15:04:06 Info: IMAP(username): Disconnected: Logged out bytes=59/566
  70
  71 rule = 1002
  72 alert = 2
  73 decoder = dovecot-info
  74
  75 [unknown user]
  76 log 1 pass = Mar 13 15:25:07 Info: auth(default): passwd-file(user@example.com,::ffff:1.2.3.4): unknown user
  77
  78 rule = 9771
  79 alert = 5
  80 decoder = dovecot-info
  81