Başarısız kök olarak SSH iletileri için uyarı kuralı.
Sistem günlük dosyalarında kök olarak başarısız SSH yetkilendirmesi algılandı.
Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.
Hatanın nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak kalıcı bir hata, birisinin yetkisiz erişim elde etmeye çalıştığının göstergesi olabilir.
Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Bir sorun oluşursa, sorunu tanılamak için lütfen ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.AIX.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] AIX7 SSH False -->
<!-- [INPUT] Jun 2 14:25:55 scxomd-aix7-01 auth|security:info sshd[6357224]: Failed password for root from 10.195.175.198 port 47282 ssh2 -->
<!-- [INPUT-MISS] Jun 2 14:26:26 scxomd-aix7-01 auth|security:info sshd[6357228]: Failed password for scxuser from 10.195.175.198 port 47283 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/ras/syslog.caa</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>