Warnungsregel für die Erkennung einer kritischen Authentifizierung
Es wurden kritische Ereignisse im Zusammenhang mit der Sicherheit in den Systemprotokolldateien erfasst.
Ein Sicherheitsfehler kann verschiedene Ursachen haben. Informationen zum Fehler sind in den zugehörigen Ausgabedatenelementen, Ereignissen und Warnungen zu finden.
Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Überprüfen Sie die entsprechenden Ereignisdetails und alle übrigen Sicherheitsereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.
Target | Microsoft.Linux.SLES.9.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>.*([Aa][Uu][Tt][Hh]).*([Cc][Rr][Ii][Tt]|[Aa][Ll][Ee][Rr][Tt]|[Ee][Mm][Ee][Rr][Gg]).*</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>