Pravidlo výstrahy pro kritické zprávy ověření v procesu syslog
Kritická události související se zabezpečením byla zjištěna v systémových souborech protokolu.
Ve výchozím nastavení je toto pravidlo zakázáno. Chcete-li povolit toto pravidlo pro sledování, použijte ke konfiguraci cesty souboru protokolu a povolení pravidla přepsání. Cesta souboru protokolu se nastavuje pomocí přepisovatelné vlastnosti s názvem LogFile a hodnota musí být nastavena na úplnou cestu k souboru protokolu, který obdrží tyto události, jak jsou definované v konfiguraci systémového protokolu. Přepsání lze použít ke změně hodnot parametrů pro všechny instance nebo pro konkrétní instance nebo skupiny.
K chybě zabezpečení mohlo dojít z několika důvodů. Informace o chybě jsou dostupné v přidružené výstupní datové položce, událostech a upozorněních.
Popis upozornění a/nebo výstupní datové položky obsahuje informace o vzniklém problému. Zkontrolujte podrobnosti přidružené události a dalších událostí zabezpečení, ke kterým došlo okolo doby průběhu této chyby a diagnostikujte problém.
Target | Microsoft.AIX.5.3.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX Alert False -->
<!-- [INPUT] Nov 12 14:42:39 scxaix3-1 auth|security:crit su: BAD SU from ccrammo to root at /dev/vty0 -->
<!-- [INPUT] Dec 1 10:33:04 scxaix3-1 auth|security:crit su: BAD SU from ccrammo to jeffcof at /dev/pts/1 -->
<!-- [INPUT] Dec 2 14:46:59 scxaix3-1 auth|security:crit su: BAD SU from a-mitmor to root at /dev/pts/0 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/syslog.log</LogFile>
<RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>