Home
  •  

Waarschuwingsregel SSH-fout

Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Failure.Alert (Rule)

Waarschuwingsregel voor mislukte SSH als root-berichten.

Knowledge Base article:

Samenvatting

Er is een mislukte SSH-verificatie als hoofdgebruiker aangetroffen in de logboekbestanden van het systeem.

Configuratie

Deze regel is standaard uitgeschakeld. Als u deze regel wilt inschakelen voor bewaking, gebruikt u onderdrukkingen om het pad naar het logboekbestand te configureren en de regel in te schakelen. Het pad naar het logboekbestand wordt ingesteld met de onderdrukbare eigenschap LogFile, en de waarde moet worden ingesteld op het volledige pad naar het logboekbestand dat deze gebeurtenis ontvangt, zoals gedefinieerd in de syslog-configuratie. Onderdrukkingen kunnen worden gebruikt om de parameterwaarden te wijzigen voor alle exemplaren of voor specifieke exemplaren of groepen.

Oorzaken

Een fout wordt mogelijk veroorzaakt door een verkeerd getypt wachtwoord of een poging om een ongeldige gebruikersnaam te gebruiken. Een permanente storing kan echter wel een indicatie zijn dat iemand probeert onbevoegd toegang te krijgen.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over het probleem dat is opgetreden. Als er een fout optreedt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden om de oorzaak van het probleem op te sporen.

Element properties:

TargetMicrosoft.AIX.5.3.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Mislukte verificatie SSH als root gedetecteerd
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.5.3.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX SSH False -->

    <!-- [INPUT] Oct 30 15:28:07 scxaix3-1 auth|security:info sshd[241818]: Failed password for root from 172.30.182.212 port 41909 ssh2 -->

    <!-- [INPUT-MISS] Oct 30 15:28:00 scxaix3-1 auth|security:info sshd[241816]: Failed password for scxuser from 172.30.182.212 port 41908 ssh2 -->

    <!-- [INPUT-MISS] Oct 30 15:22:27 scxaix3-1 auth|security:info sshd[483338]: Failed none for invalid user ccrammo from 172.30.182.212 port 57623 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.5.3.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>