Home
  •  

SSH Hatası Uyarı Kuralı

Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert (Rule)

Başarısız kök olarak SSH iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında kök olarak başarısız SSH yetkilendirmesi algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.

Nedenler

Hatanın nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak kalıcı bir hata, birisinin yetkisiz erişim elde etmeye çalıştığının göstergesi olabilir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Bir sorun oluşursa, sorunu tanılamak için lütfen ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.AIX.7.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Kök olarak başarısız SSH algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.Alert" Target="Microsoft.AIX.7.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] AIX7 SSH False -->

    <!-- [INPUT] Jun  2 14:25:55 scxomd-aix7-01 auth|security:info sshd[6357224]: Failed password for root from 10.195.175.198 port 47282 ssh2 -->

    <!-- [INPUT-MISS] Jun  2 14:26:26 scxomd-aix7-01 auth|security:info sshd[6357228]: Failed password for scxuser from 10.195.175.198 port 47283 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/ras/syslog.caa</LogFile>

      <RegExpFilter>[[:space:]]sshd\[[[:digit:]]+]: Failed password for root from</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AIX.7.LogFile.Syslog.SSHAuth.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>