Home
  •  

Intégrité du service du processus Audit

Microsoft.Linux.RHEL.6.Process.Audit.Monitor (UnitMonitor)

Analyse Processus Audit pour Red Hat Enterprise Linux Server 6

Knowledge Base article:

Résumé

Démon d'audit inactif. Vérifiez les résultats de diagnostic et de récupération pour voir si une action supplémentaire est requise.

Le démon d'audit facilite l'écriture des enregistrements d'audit sur le disque.

Causes

Un échec indique que le démon d'audit est inactif.

Résolutions

Pour vérifier le service, exécutez la commande -ef | grep auditd ou affichez le diagnostic sur la console Operations Manager. Pour le démarrer, exécutez la commande "service auditd start" ou cliquez sur le lien de récupération dans la console Operations Manager.

Pour analyser les causes d'origine, vérifiez tout d'abord le fichier journal système (/var/log/messages), puis consultez les entrées consignées au moment de l'incident.

Element properties:

TargetMicrosoft.Linux.RHEL.6.OperatingSystem
Parent MonitorSystem.Health.AvailabilityState
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Unix.WSMan.Process.Status.MonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Démon d'audit inactif
Le démon d'audit de noyau sur le serveur {0} est inactif.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Linux.RHEL.6.Process.Audit.Monitor" Accessibility="Public" Target="Microsoft.Linux.RHEL.6.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="true" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Linux.RHEL.6.Process.Audit.AlertMessage">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>

    <OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>

  </OperationalStates>

  <Configuration>

    <TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>

    <ProcessName>auditd</ProcessName>

    <Interval>300</Interval>

  </Configuration>

</UnitMonitor>