Home
  •  

Syslog Auth Kritik Uyarı Kuralı

Microsoft.Solaris.10.LogFile.Syslog.Auth.Critical.Alert (Rule)

Syslog'da auth kritik iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında bir auth kritik olayı algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.

Nedenler

Güvenlik hatası çeşitli nedenlerden ötürü oluşabilir. Hatayla ilgili bilgiler ilişkili çıktı verisi öğesinde, olaylarda ve uyarılarda bulunur.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Sorunu algılamak için ilişkili olay ayrıntılarını ve bu hataya yakın bir zamanda gerçekleşen diğer güvenlik olaylarını denetleyin.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Auth Kritik Uyarısı algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris Alert False -->

    <!-- [INPUT] Oct 29 16:54:53 scxnetra01 su: [ID 810491 auth.crit] 'su root' failed for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/messages</LogFile>

      <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>