Home
  •  

Kritické pravidlo výstrahy ověření procesu Syslog

Microsoft.AIX.5.3.LogFile.Syslog.Auth.Critical.Alert (Rule)

Pravidlo výstrahy pro kritické zprávy ověření v procesu syslog

Knowledge Base article:

Souhrn

Kritická události související se zabezpečením byla zjištěna v systémových souborech protokolu.

Konfigurace

Ve výchozím nastavení je toto pravidlo zakázáno. Chcete-li povolit toto pravidlo pro sledování, použijte ke konfiguraci cesty souboru protokolu a povolení pravidla přepsání. Cesta souboru protokolu se nastavuje pomocí přepisovatelné vlastnosti s názvem LogFile a hodnota musí být nastavena na úplnou cestu k souboru protokolu, který obdrží tyto události, jak jsou definované v konfiguraci systémového protokolu. Přepsání lze použít ke změně hodnot parametrů pro všechny instance nebo pro konkrétní instance nebo skupiny.

Příčiny

K chybě zabezpečení mohlo dojít z několika důvodů. Informace o chybě jsou dostupné v přidružené výstupní datové položce, událostech a upozorněních.

Řešení

Popis upozornění a/nebo výstupní datové položky obsahuje informace o vzniklém problému. Zkontrolujte podrobnosti přidružené události a dalších událostí zabezpečení, ke kterým došlo okolo doby průběhu této chyby a diagnostikujte problém.

Element properties:

TargetMicrosoft.AIX.5.3.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Byla zjištěna kritická událost ověření procesu Syslog.
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX Alert False -->

    <!-- [INPUT] Nov 12 14:42:39 scxaix3-1 auth|security:crit su: BAD SU from ccrammo to root at /dev/vty0 -->

    <!-- [INPUT] Dec  1 10:33:04 scxaix3-1 auth|security:crit su: BAD SU from ccrammo to jeffcof at /dev/pts/1 -->

    <!-- [INPUT] Dec  2 14:46:59 scxaix3-1 auth|security:crit su: BAD SU from a-mitmor to root at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>