Home
  •  

Integrität des Audit-Prozessdiensts

Microsoft.Linux.Universal.Process.Audit.Monitor (UnitMonitor)

Audit-Monitor für universelle Linux-Prozesse

Knowledge Base article:

Zusammenfassung

Der Audit-Daemon wird nicht ausgeführt. Überprüfen Sie anhand der Ergebnisse von "Diagnose und Wiederherstellung", ob weitere Maßnahmen erforderlich sind.

Der Audit-Daemon erleichtert das Schreiben von Überwachungsdatensätzen auf den Datenträger.

Ursachen

Ein Fehler weist darauf hin, dass der Audit-Daemon nicht ausgeführt wird.

Lösungen

Überprüfen Sie den Dienst, indem Sie „ps -ef | grep auditd“ ausführen oder die Diagnose in der Operations Manager-Konsole anzeigen. Starten Sie ihn, indem Sie den Befehl „service auditd start“ ausführen oder auf den Wiederherstellungslink in der Operations Manager-Konsole klicken.

Zur Fehleranalyse überprüfen Sie zunächst die Systemprotokolldatei (/var/log/messages). Sehen Sie sich dabei alle ähnlichen Einträge an, die zum Zeitpunkt des Fehlschlags in das Protokoll aufgenommen wurden.

Element properties:

TargetMicrosoft.Linux.Universal.OperatingSystem
Parent MonitorSystem.Health.AvailabilityState
CategoryAvailabilityHealth
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Unix.WSMan.Process.Status.MonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Audit-Daemon wird nicht ausgeführt
Der Daemon zur Kernelüberwachung auf dem Server {0} wird nicht ausgeführt.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Linux.Universal.Process.Audit.Monitor" Accessibility="Public" Target="Universal!Microsoft.Linux.Universal.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="false" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Linux.Universal.Process.Audit.AlertMessage">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>

    <OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>

  </OperationalStates>

  <Configuration>

    <TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>

    <ProcessName>auditd</ProcessName>

    <Interval>300</Interval>

  </Configuration>

</UnitMonitor>