debian/ossec-hids/usr/share/doc/ossec-hids/contrib/ossec-testing/tests/pam.ini

   1 [User login failed.]
   2 log 1 pass = Nov 11 22:46:29 localhost su(pam_unix)[23164]: authentication failure; logname= uid=1342 euid=0 tty= ruser=dcid rhost=  user=osaudit
   3 log 2 pass = Jun 28 23:01:27 xxxx auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=lipjigaglgihgoeadcdaa.p.salmon@xxx.xxx.xxx.xxx rhost=91.195.103.44
   4
   5 rule = 5503
   6 alert = 5
   7 decoder = pam
   8
   9 [Attempt to login with an invalid user.]
  10 log 1 pass = Nov 11 22:46:29 localhost vsftpd(pam_unix)[25073]: check pass; user unknown
  11
  12 rule = 5504
  13 alert = 5
  14 decoder = pam
  15
  16 [Login session opened.]
  17 log 1 pass = Nov 11 22:46:29 localhost su(pam_unix)[14592]: session opened for user news by (uid=0)
  18
  19 rule = 5501
  20 alert = 3
  21 decoder = pam
  22
  23 [Login session closed.]
  24 log 1 pass = Nov 11 22:46:29 localhost su(pam_unix)[14592]: session closed for user news
  25
  26 rule = 5502
  27 alert = 3
  28 decoder = pam
  29
  30 [User missed the password more than one time]
  31 log 1 pass = Nov 11 22:46:29 localhost sshd(pam_unix)[15794]: 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.3.1  user=root
  32
  33 rule = 2502
  34 alert = 10
  35 decoder = pam
  36