Home
  •  

Warnungsregel – Authentifizierung kritisch

Microsoft.Linux.SLES.9.LogFile.Syslog.Auth.Critical.Alert (Rule)

Warnungsregel für die Erkennung einer kritischen Authentifizierung

Knowledge Base article:

Zusammenfassung

Es wurden kritische Ereignisse im Zusammenhang mit der Sicherheit in den Systemprotokolldateien erfasst.

Ursachen

Ein Sicherheitsfehler kann verschiedene Ursachen haben. Informationen zum Fehler sind in den zugehörigen Ausgabedatenelementen, Ereignissen und Warnungen zu finden.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Überprüfen Sie die entsprechenden Ereignisdetails und alle übrigen Sicherheitsereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.Linux.SLES.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Kritische Authentifizierung
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>.*([Aa][Uu][Tt][Hh]).*([Cc][Rr][Ii][Tt]|[Aa][Ll][Ee][Rr][Tt]|[Ee][Mm][Ee][Rr][Gg]).*</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>