Home
  •  

Правило предупреждения для ошибки SSH

Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert (Rule)

Правило предупреждения для сообщений об ошибке SSH от имени root.

Knowledge Base article:

Сводка

В файлах журнала системы обнаружено неудавшееся выполнение проверки подлинности SSH с привилегированной учетной записью.

Конфигурация

Это правило по умолчанию отключено. Чтобы включить это правило при мониторинге, используйте переопределения для настройки пути файла журнала и включения правила. Путь файла журнала задается переопределяемым свойством LogFile, значением которого должен быть полный путь к файлу журнала, куда будут заноситься события согласно конфигурации syslog. Для изменения значений параметров для всех экземпляров или отдельных экземпляров и групп могут использоваться переопределения.

Причины

Проблема могла быть вызвана вводом неправильного пароля или попыткой использовать неправильное имя пользователя. Однако если такая проблема возникает постоянно, это может указывать на попытку получить несанкционированный доступ.

Решения

В описании предупреждения и (или) элемента выходных данных содержится информация об обнаруженной проблеме. Если возникла проблема, то для ее диагностики просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Обнаружена ошибка при выполнении SSH от имени привилегированного пользователя
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SSH False -->

    <!-- [INPUT] Jun  2 14:25:55 scxomd-aix7-01 auth|security:info sshd[6357224]: Failed password for root from 10.195.175.198 port 47282 ssh2 -->

    <!-- [INPUT-MISS] Jun  2 14:26:26 scxomd-aix7-01 auth|security:info sshd[6357228]: Failed password for scxuser from 10.195.175.198 port 47283 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>