Analyse Processus Audit pour Red Hat Enterprise Linux Server 7
Démon d'audit inactif. Vérifiez les résultats de diagnostic et de récupération pour voir si une action supplémentaire est requise.
Le démon d'audit facilite l'écriture des enregistrements d'audit sur le disque.
Un échec indique que le démon d'audit est inactif.
Pour vérifier le service, exécutez la commande -ef | grep auditd ou affichez le diagnostic sur la console Operations Manager. Pour le démarrer, exécutez la commande « systemctl start auditd » ou cliquez sur le lien de récupération dans la console Operations Manager.
Pour analyser les causes d'origine, vérifiez tout d'abord le fichier journal système (/var/log/messages), puis consultez les entrées consignées au moment de l'incident.
Target | Microsoft.Linux.RHEL.7.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | AvailabilityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Unix.WSMan.Process.Status.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Linux.RHEL.7.Process.Audit.Monitor" Accessibility="Public" Target="Microsoft.Linux.RHEL.7.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="true" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">
<Category>AvailabilityHealth</Category>
<AlertSettings AlertMessage="Microsoft.Linux.RHEL.7.Process.Audit.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>
<OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>
</OperationalStates>
<Configuration>
<TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>
<ProcessName>auditd</ProcessName>
<Interval>300</Interval>
</Configuration>
</UnitMonitor>