SSH Kimlik Doğrulaması Hatası uyarı kuralı - Microsoft.Linux.RHEL.5.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule) (TRK)

Microsoft.Linux.RHEL.5.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

SSH Kimlik Doğrulaması hatalarının algılanması için uyarı kuralı

Knowledge Base article:

Özet

Sistem günlük dosyalarında kök hesap için SSH yetkilendirme hatası algılandı.

Nedenler

Hatanın nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak kalıcı bir hata, birisinin yetkisiz erişim elde etmeye çalıştığının göstergesi olabilir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Bir sorun oluşursa, sorunu tanılamak için ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

Target

Microsoft.Linux.RHEL.5.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

SSH Kimlik Doğrulama Hatası algılandı

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Privileged.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Module Type

TypeId

RunAs

EventDS

DataSource

Microsoft.Unix.SCXLog.Privileged.Datasource

Default

GenerateAlert

WriteAction

System.Health.GenerateAlert

Default

Source Code:

<Rule ID="Microsoft.Linux.RHEL.5.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.RHEL.5.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category> <DataSources>      <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/log/secure</LogFile> <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>2</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.5.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>