Waarschuwingsregel voor kritieke syslog-verificatieberichten.
Er is een kritieke auth-gebeurtenis in de systeemlogboekbestanden gedetecteerd.
Deze regel is standaard uitgeschakeld. Als u deze regel wilt inschakelen voor bewaking, gebruikt u onderdrukkingen om het pad naar het logboekbestand te configureren en de regel in te schakelen. Het pad naar het logboekbestand wordt ingesteld met de onderdrukbare eigenschap LogFile, en de waarde moet worden ingesteld op het volledige pad naar het logboekbestand dat deze gebeurtenis ontvangt, zoals gedefinieerd in de syslog-configuratie. Onderdrukkingen kunnen worden gebruikt om de parameterwaarden te wijzigen voor alle exemplaren of voor specifieke exemplaren of groepen.
Een beveiligingsfout kan verschillende oorzaken hebben. Informatie over de fout is beschikbaar in het bijbehorende uitvoergegevensitem en in de bijbehorende gebeurtenissen en waarschuwingen.
De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over het probleem dat is opgetreden. Controleer de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden om de oorzaak van het probleem op te sporen.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris Alert False -->
<!-- [INPUT] Oct 29 16:54:53 scxnetra01 su: [ID 810491 auth.crit] 'su root' failed for jeffcof on /dev/pts/1 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/messages</LogFile>
<RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>