Home
  •  

Intégrité du service du processus Audit

Microsoft.Linux.RHEL.6.Process.Audit.Monitor (UnitMonitor)

Analyse Processus Audit pour Red Hat Enterprise Linux Server 6

Knowledge Base article:

Résumé

Ce processus analyse les espions du processus d'audit à exécuter.

Causes

Un incident indique que le service d'audit exécuté sur le système est arrêté.

Solutions

Pour vérifier le service, exécutez la commande -ef | grep auditd ou affichez le diagnostic sur la console Operations Manager. Pour le démarrer, exécutez la commande "service auditd start" ou cliquez sur le lien de récupération dans la console Operations Manager.

Pour analyser les causes d'origine, vérifiez tout d'abord le fichier journal système (/var/log/messages), puis consultez les entrées consignées au moment de l'incident.

Element properties:

TargetMicrosoft.Linux.RHEL.6.OperatingSystem
Parent MonitorSystem.Health.AvailabilityState
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Unix.WSMan.Process.Status.MonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Alerte de l'analyse Processus Audit pour Red Hat Enterprise Linux Server 6
Le démon d'audit de noyau sur le serveur {0} est inactif.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Linux.RHEL.6.Process.Audit.Monitor" Accessibility="Public" Target="Microsoft.Linux.RHEL.6.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="true" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Linux.RHEL.6.Process.Audit.AlertMessage">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>

    <OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>

  </OperationalStates>

  <Configuration>

    <TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>

    <ProcessName>auditd</ProcessName>

    <Interval>300</Interval>

  </Configuration>

</UnitMonitor>