Home
  •  

SSH Hatası Uyarı Kuralı

Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Başarısız kök olarak SSH iletileri için uyarı kuralı.

Knowledge Base article:

Özet

Sistem günlük dosyalarında kök hesap için bir SSH Kimlik Doğrulaması hatası algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Bu kuralı izleme amacıyla etkinleştirmek için, günlük dosyası yolunu yapılandırmak ve kuralı etkinleştirmek üzere geçersiz kılmaları kullanın. Günlük dosyası LogFile adlı geçersiz kılınabilir özellik ile ayarlanır ve değer syslog yapılandırmasında tanımlandığı şekilde bu olayları alacak olan günlük dosyasının tam yoluna ayarlanmalıdır. Geçersiz kılmalar, tüm örnekler veya belirli örnekler ya da gruplar için parametre değerlerini değiştirmek üzere kullanılabilir.

Nedenler

Hatanın nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak kalıcı bir hata, birisinin yetkisiz erişim elde etmeye çalıştığının göstergesi olabilir.

Çözümlemeler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan sorunla ilgili bilgiler içerir. Bir sorun oluşursa, sorunu tanılamak için ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Kök olarak başarısız SSH algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH False -->

    <!-- [INPUT] Nov  6 13:51:55 scxsun12 sshd[22123]: [ID 800047 auth.notice] Failed keyboard-interactive for root from 10.195.173.73 port 39057 ssh2 -->

    <!-- [INPUT-MISS] Nov  5 17:24:28 scxsun12 sshd[4358]: [ID 800047 auth.notice] Failed keyboard-interactive for jeffcof from 10.195.173.73 port 55229 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>sshd\[[[:digit:]]+\]: \[.*\] Failed (keyboard-interactive|publickey) for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>