Moniteur de l’audit du processus pour Linux Universal
Démon d’audit inactif. Vérifiez les résultats de diagnostic et de récupération pour voir si une action supplémentaire est requise.
Le démon d’audit facilite l’écriture des enregistrements d’audit sur le disque.
Un échec indique que le démon d’audit est inactif.
Pour vérifier le service, exécutez la commande ps -ef | grep auditd ou affichez le diagnostic dans la console Operations Manager. Pour le démarrer, exécutez la commande « service auditd start » ou cliquez sur le lien de récupération dans la console Operations Manager.
Pour analyser la cause racine, consultez d’abord le fichier journal système (/var/log/messages), puis recherchez les entrées consignées au moment de l’incident.
Target | Microsoft.Linux.Universal.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | AvailabilityHealth | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Unix.WSMan.Process.Status.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Linux.Universal.Process.Audit.Monitor" Accessibility="Public" Target="Universal!Microsoft.Linux.Universal.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="false" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">
<Category>AvailabilityHealth</Category>
<AlertSettings AlertMessage="Microsoft.Linux.Universal.Process.Audit.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>
<OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>
</OperationalStates>
<Configuration>
<TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>
<ProcessName>auditd</ProcessName>
<Interval>300</Interval>
</Configuration>
</UnitMonitor>