Reguła alertu dotycząca wiadomości o niepowodzeniu usługi SSH jako katalogu głównego.
W plikach dziennika systemowego wykryto niepowodzenie uwierzytelniania SSH dla konta „root”.
Ta zasada jest domyślnie wyłączona. Aby włączyć tę zasadę na potrzeby monitorowania, należy przy użyciu zastąpień skonfigurować ścieżkę pliku dziennika i włączyć zasadę. Ścieżka pliku dziennika jest określana za pomocą zastępowalnej właściwości o nazwie LogFile, przy czym wartość ta musi być określona jako pełna ścieżka do pliku dziennika, do którego będą trafiać te zdarzenia, zgodnie z definicją w konfiguracji programu syslog. W celu zmiany wartości parametrów wszystkich wystąpień lub określonych wystąpień bądź grup można użyć zastąpień.
Przyczyną niepowodzenia może być błędnie wpisane hasło lub próba użycia nieprawidłowej nazwy użytkownika. Niemniej jednak utrzymujące się niepowodzenie może wskazywać, że ktoś próbuje uzyskać nieautoryzowany dostęp.
Opis alertu i/lub element danych wyjściowych zawiera informacje o napotkanym problemie. Aby zdiagnozować problem w razie błędu, sprawdź szczegóły skojarzonego zdarzenia oraz inne zdarzenia, które wystąpiły w czasie zbliżonym do tej awarii.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH False -->
<!-- [INPUT] Nov 6 13:51:55 scxsun12 sshd[22123]: [ID 800047 auth.notice] Failed keyboard-interactive for root from 10.195.173.73 port 39057 ssh2 -->
<!-- [INPUT-MISS] Nov 5 17:24:28 scxsun12 sshd[4358]: [ID 800047 auth.notice] Failed keyboard-interactive for jeffcof from 10.195.173.73 port 55229 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: \[.*\] Failed (keyboard-interactive|publickey) for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>