Home
  •  

Regra de Alerta Crítico de Autenticação Syslog

Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert (Rule)

Regra de alerta para as mensagens críticas de autorização no syslog.

Knowledge Base article:

Resumo

Foi detectado um evento crítico relacionado a segurança nos arquivos de log do sistema.

Configuração

Essa regra está desabilitada por padrão. Para habilitar esta regra para monitoração, use substituições para configurar o caminho do arquivo de log e habilitar a regra. O caminho do arquivo de log é definido com a propriedade substituível denominada LogFile, e o valor deve ser definido como o caminho completo do arquivo de log que receberá esses eventos, conforme definido na configuração syslog. As substituições podem ser usadas para alterar os valores de parâmetros para todas as instâncias ou para instâncias ou grupos específicos.

Causas

Uma falha de segurança pode ocorrer por várias razões. As informações sobre a falha estão disponíveis no item de dados de saída, em alertas e eventos.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Verifique os detalhes do evento relacionado e todos os outros eventos de segurança que ocorreram por volta do horário dessa falha para diagnosticar o problema.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Evento Crítico para Syslog Auth detectado
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 Alert False -->

    <!-- [INPUT] Jun  2 14:27:06 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>