Home
  •  

Warnungsregel – SSH fehlgeschlagen

Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Warnungsregel für Fehlschlagsmeldungen zu "SSH as root"

Knowledge Base article:

Zusammenfassung

Eine fehlgeschlagene SSH-Authentifizierung als root wurde in den Systemprotokolldateien erkannt.

Ursachen

Ein Fehler kann durch ein falsch geschriebenes Kennwort oder einen ungültigen Benutzernamen verursacht werden. Ein wiederholter Fehler könnte auf einen Zugriffsversuch durch eine nicht autorisierte Person hinweisen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.HPUX.11iv3.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Fehlgeschlagene Authentifizierung "SSH as root"
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.HPUX.11iv3.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/syslog/syslog.log</LogFile>

      <RegExpFilter>.*sshd.*Failed.*keyboard-interactive\/pam.*for.*root.*</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.HPUX.11iv3.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>