Regra do alerta para mensagens de evento crítico de autenticação do syslog.
Foi detetado um evento crítico relacionado com segurança nos ficheiros de registo do sistema.
Esta regra está desativada por predefinição. Para ativar esta regra para a monitorização, utilize substituições para configurar o caminho do ficheiro de registo e ativar a regra. O caminho do ficheiro de registo está definido com a propriedade substituível com o nome LogFile, e o valor tem de ser definido para o caminho completo para o ficheiro de registo que vai receber estes eventos, tal como definido na configuração do syslog. As substituições podem ser utilizadas para alterar os valores de parâmetros de todas as instâncias ou de instâncias ou grupos específicos.
Pode ocorrer uma falha de segurança por vários motivos. Estão disponíveis informações sobre a falha nos itens, eventos e alertas de dados de saída associados.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Verifique os detalhes do evento associado e quaisquer outros eventos de segurança que tenham acontecido perto da hora desta falha para diagnosticar o problema.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 Alert False -->
<!-- [INPUT] Jun 2 14:27:06 scxomd-aix7-01 auth|security:crit su: BAD SU from jeffcof to root at /dev/pts/0 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>[[:space:]]auth\|[^[:space:]]+:(crit|emerg|alert)</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>