Syslog 認証の重大なメッセージのアラート ルール
セキュリティに関連する重要なイベントがシステム ログ ファイルで検出されました。
このルールは、既定では無効になっています。このルールを監視用に有効にするには、上書きを使用してログ ファイルのパスを構成し、ルールを有効にします。ログ ファイルのパスは LogFile という上書き可能なプロパティによって設定されます。値は syslog の構成で定義されている、これらのイベントが出力されるログ ファイルの完全なパスに設定する必要があります。上書きを使用して、すべてのインスタンスまたは特定のインスタンスやグループに対してパラメーターの値を変更できます。
セキュリティ エラーが発生する原因として、いくつかの理由が考えられます。エラーに関する情報については、関連出力データ項目、イベント、およびアラートを参照してください。
アラートや出力データ項目の説明には、発生した問題に関する情報が含まれています。問題を診断するには、関連イベントの詳細およびこのエラーとほぼ同時刻に発生したその他のセキュリティ イベントを確認してください。
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 Alert False -->
<!-- [INPUT] Jun 2 14:27:06 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>