Home
  •  

Состояние процесса службы аудита

Microsoft.Linux.RHEL.7.Process.Audit.Monitor (UnitMonitor)

Монитор службы аудита процесса операционной системы Red Hat Enterprise Linux Server 7

Knowledge Base article:

Сводка

Управляющая программа аудита не запущена. Проверьте результаты на вкладке "Диагностика и восстановление", чтобы понять, нужны ли дополнительные действия.

Управляющая программа аудита служит для записи данных аудита на диск.

Причины

Сбой указывает на то, что управляющая программа аудита не работает.

Решения

Проверьте службу, выполнив команду "ps -ef | grep auditd" или просмотрев диагностику в консоли Operations Manager. Запустите службу, выполнив команду "systemctl start auditd" или щелкнув ссылку восстановления в консоли Operations Manager.

Для анализа основных причин сначала проверьте файл системного журнала (/var/log/messages) и просмотрите записи, относящиеся ко времени сбоя.

Element properties:

TargetMicrosoft.Linux.RHEL.7.OperatingSystem
Parent MonitorSystem.Health.AvailabilityState
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Unix.WSMan.Process.Status.MonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Управляющая программа аудита не запущена
Управляющая программа аудита ядра не запущена на сервере {0}.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Linux.RHEL.7.Process.Audit.Monitor" Accessibility="Public" Target="Microsoft.Linux.RHEL.7.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="true" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Linux.RHEL.7.Process.Audit.AlertMessage">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>

    <OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>

  </OperationalStates>

  <Configuration>

    <TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>

    <ProcessName>auditd</ProcessName>

    <Interval>300</Interval>

  </Configuration>

</UnitMonitor>