Warnungsregel - SSH fehlgeschlagen

Microsoft.HPUX.11iv2.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Warnungsregel für Fehlermeldungen zu "SSH as root"

Knowledge Base article:

Zusammenfassung

In den Systemprotokolldateien wurde ein SSH-Authentifizierungsfehler für das Root-Konto ermittelt.

Ursachen

Ein Fehler kann durch ein falsch geschriebenes Kennwort oder einen ungültigen Benutzernamen verursacht werden. Ein wiederholter Fehler könnte auf einen Zugriffsversuch durch eine nicht autorisierte Person hinweisen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.HPUX.11iv2.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Fehlgeschlagene Authentifizierung "SSH as root"
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.HPUX.11iv2.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.HPUX.11iv2.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] HP SSH False -->
<!-- [INPUT] Dec 17 16:40:39 scxhpi10 sshd[29681]: error: PAM: Authentication failed for root from scxcrd-sle10-03.scx.com -->
<!-- [INPUT-MISS] Dec 17 16:40:45 scxhpi10 sshd[29681]: Failed keyboard-interactive/pam for root from 10.195.175.142 port 36815 ssh2 -->
<!-- [INPUT-MISS] Dec 17 16:40:53 scxhpi10 sshd[29681]: Failed password for root from 10.195.175.142 port 36815 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/syslog/syslog.log</LogFile>
<RegExpFilter>[[:space:]]sshd\[[[:digit:]]+\]: error: PAM: Authentication failed for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv2.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>