Syslog 身份验证严重警报规则 - Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.Alert (Rule) (CHS)

Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.Alert (Rule)

Syslog 中身份验证严重消息警报规则。

Knowledge Base article:

摘要

在系统日志文件中检测到身份验证严重事件。

配置

默认情况下，此规则已禁用。要启用此规则以进行监视，请使用替代来配置日志文件路径并启用该规则。日志文件路径使用名为 LogFile 的可替代属性进行设置，并且必须将值设置为日志文件的完整路径，该日志文件将接收 syslog 配置中所定义的这些事件。替代可用于为所有实例或特定实例或组更改参数值。

原因

此安全故障的发生可能有多种原因。在关联的输出数据项目、事件和警报中可以找到有关失败的信息。

解决方法

警报和/或输出数据项的描述包含有关遇到的问题的信息。请检查关联的事件的详细信息以及此故障时间附近发生的任何其他安全事件以诊断问题。

Element properties:

Target

Microsoft.Solaris.11.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

检测到身份验证严重警报

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category> <DataSources>   <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/adm/messages</LogFile> <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>2</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>