위험한 인증 검색에 대한 경고 규칙입니다.
시스템 로그 파일에서 보안과 관련된 중요한 이벤트가 검색되었습니다.
몇 가지 이유로 인해 보안 오류가 발생할 수 있습니다. 오류에 대한 정보는 관련 출력 데이터 항목, 이벤트 및 경고에서 확인할 수 있습니다.
경고에 대한 설명 및/또는 출력 데이터 항목에 문제에 대한 정보가 포함되어 있습니다. 관련 이벤트 세부 정보와 이 오류와 비슷한 시기에 발생한 다른 보안 이벤트를 검토하여 문제를 진단하십시오.
Target | Microsoft.Linux.RHEL.5.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>.*[Ee][Mm][Ee][Rr][Gg]|[Aa][Ll][Ee][Rr][Tt]|[Cc][Rr][Ii][Tt]+.*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>