Home
  •  

Warnungsregel - SSH fehlgeschlagen

Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert (Rule)

Warnungsregel für Fehlermeldungen zu "SSH as root"

Knowledge Base article:

Zusammenfassung

Eine fehlerhafte SSH-Authentifizierung als "root" wurde in den Systemprotokolldateien ermittelt.

Konfiguration

Diese Regel ist standardmäßig deaktiviert. Verwenden Sie zur Aktivierung dieser Überwachungsregel Außerkraftsetzungen, mit denen Sie den Pfad der Protokolldatei konfigurieren und die Regel aktivieren. Der Pfad der Protokolldatei wird mithilfe der überschreibbaren Eigenschaft "LogFile" festgelegt. Als Wert muss der vollständige Pfad der Protokolldatei festgelegt werden, von der diese Ereignisse empfangen werden - wie in der Konfiguration des Systemprotokolls definiert. Die für alle Instanzen oder für eine bestimmte Instanz oder Gruppe definierten Parameterwerte können mithilfe von Außerkraftsetzungen geändert werden.

Ursachen

Ein Fehler kann durch ein falsch geschriebenes Kennwort oder einen ungültigen Benutzernamen verursacht werden. Ein wiederholter Fehler könnte auf einen Zugriffsversuch durch eine nicht autorisierte Person hinweisen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Fehlgeschlagene Authentifizierung "SSH as root"
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SSH False -->

    <!-- [INPUT] Jun  2 14:25:55 scxomd-aix7-01 auth|security:info sshd[6357224]: Failed password for root from 10.195.175.198 port 47282 ssh2 -->

    <!-- [INPUT-MISS] Jun  2 14:26:26 scxomd-aix7-01 auth|security:info sshd[6357228]: Failed password for scxuser from 10.195.175.198 port 47283 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>