Home
  •  

Intégrité du service d’audit du processus

Microsoft.Linux.Universal.Process.Audit.Monitor (UnitMonitor)

Moniteur de l’audit du processus pour Linux Universal

Knowledge Base article:

Résumé

Démon d’audit inactif. Vérifiez les résultats de diagnostic et de récupération pour voir si une action supplémentaire est requise.

Le démon d’audit facilite l’écriture des enregistrements d’audit sur le disque.

Causes

Un échec indique que le démon d’audit est inactif.

Résolutions

Pour vérifier le service, exécutez la commande ps -ef | grep auditd ou affichez le diagnostic dans la console Operations Manager. Pour le démarrer, exécutez la commande « service auditd start » ou cliquez sur le lien de récupération dans la console Operations Manager.

Pour analyser la cause racine, consultez d’abord le fichier journal système (/var/log/messages), puis recherchez les entrées consignées au moment de l’incident.

Element properties:

TargetMicrosoft.Linux.Universal.OperatingSystem
Parent MonitorSystem.Health.AvailabilityState
CategoryAvailabilityHealth
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Unix.WSMan.Process.Status.MonitorType
RemotableTrue
AccessibilityPublic
Alert Message
Démon d’audit inactif
Le démon d’audit de noyau sur le serveur {0} est inactif.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Linux.Universal.Process.Audit.Monitor" Accessibility="Public" Target="Universal!Microsoft.Linux.Universal.OperatingSystem" TypeID="Unix!Microsoft.Unix.WSMan.Process.Status.MonitorType" Enabled="false" ParentMonitorID="SystemHealth!System.Health.AvailabilityState">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.Linux.Universal.Process.Audit.AlertMessage">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState HealthState="Success" MonitorTypeStateID="Running" ID="Running"/>

    <OperationalState HealthState="Error" MonitorTypeStateID="NotRunning" ID="NotRunning"/>

  </OperationalStates>

  <Configuration>

    <TargetSystem>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</TargetSystem>

    <ProcessName>auditd</ProcessName>

    <Interval>300</Interval>

  </Configuration>

</UnitMonitor>