Home
  •  

Syslog 認証の重大なアラート ルール

Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert (Rule)

Syslog 認証の重大なメッセージのアラート ルール

Knowledge Base article:

概要

セキュリティに関連する重要なイベントがシステム ログ ファイルで検出されました。

構成

このルールは、既定では無効になっています。このルールを監視用に有効にするには、上書きを使用してログ ファイルのパスを構成し、ルールを有効にします。ログ ファイルのパスは LogFile という上書き可能なプロパティによって設定されます。値は syslog の構成で定義されている、これらのイベントが出力されるログ ファイルの完全なパスに設定する必要があります。上書きを使用して、すべてのインスタンスまたは特定のインスタンスやグループに対してパラメーターの値を変更できます。

原因

セキュリティ エラーが発生する原因として、いくつかの理由が考えられます。エラーに関する情報については、関連出力データ項目、イベント、およびアラートを参照してください。

解決策

アラートや出力データ項目の説明には、発生した問題に関する情報が含まれています。問題を診断するには、関連イベントの詳細およびこのエラーとほぼ同時刻に発生したその他のセキュリティ イベントを確認してください。

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Syslog 認証の重大なイベントが検出されました
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 Alert False -->

    <!-- [INPUT] Jun  2 14:27:06 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>