Regra de alerta para SSH que falhou como mensagens raiz.
Foi detectada uma falha de Autenticação SSH para a conta raiz nos arquivos de log do sistema.
Essa regra está desabilitada por padrão. Para habilitar esta regra para monitoração, use substituições para configurar o caminho do arquivo de log e habilitar a regra. O caminho do arquivo de log é definido com a propriedade substituível denominada LogFile, e o valor deve ser definido como o caminho completo do arquivo de log que receberá esses eventos, conforme definido na configuração syslog. As substituições podem ser usadas para alterar os valores de parâmetros para todas as instâncias ou para instâncias ou grupos específicos.
Uma falha pode ser causada por senha incorretamente digitada ou tentativa de usar um nome de usuário inválido. No entanto, uma falha persistente poderia ser uma indicação de que alguém está tentando obter acesso não autorizado.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Se ocorrer uma falha, verifique os detalhes do evento relacionado e todos os outros eventos que ocorreram por volta do horário dessa falha para diagnosticar o problema.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH False -->
<!-- [INPUT] Nov 6 13:51:55 scxsun12 sshd[22123]: [ID 800047 auth.notice] Failed keyboard-interactive for root from 10.195.173.73 port 39057 ssh2 -->
<!-- [INPUT-MISS] Nov 5 17:24:28 scxsun12 sshd[4358]: [ID 800047 auth.notice] Failed keyboard-interactive for jeffcof from 10.195.173.73 port 55229 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: \[.*\] Failed (keyboard-interactive|publickey) for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>