Analyse Processus Audit pour Red Hat Enterprise Linux Server 6
Ce processus analyse les espions du processus d'audit à exécuter.
Un incident indique que le service d'audit exécuté sur le système est arrêté.
Pour vérifier le service, exécutez la commande -ef | grep auditd ou affichez le diagnostic sur la console Operations Manager. Pour le démarrer, exécutez la commande "service auditd start" ou cliquez sur le lien de récupération dans la console Operations Manager.
Pour analyser les causes d'origine, vérifiez tout d'abord le fichier journal système (/var/log/messages), puis consultez les entrées consignées au moment de l'incident.
Target | Microsoft.Linux.RHEL.6.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | AvailabilityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Unix.WSMan.Process.Status.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Linux.RHEL.6.Process.Audit.Monitor" Accessibility="Public" Target="Microsoft.Linux.RHEL.6.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="true" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">
<Category>AvailabilityHealth</Category>
<AlertSettings AlertMessage="Microsoft.Linux.RHEL.6.Process.Audit.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>
<OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>
</OperationalStates>
<Configuration>
<TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>
<ProcessName>auditd</ProcessName>
<Interval>300</Interval>
</Configuration>
</UnitMonitor>