Home
  •  

Regra do Alerta do Evento Crítico de Autenticação do Syslog

Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.Alert (Rule)

Regra do alerta para mensagens de evento crítico de autenticação do syslog.

Knowledge Base article:

Resumo

Foi detetado um evento crítico de autenticação nos ficheiros de registo do sistema.

Configuração

Esta regra está desativada por predefinição. Para ativar esta regra para a monitorização, utilize substituições para configurar o caminho do ficheiro de registo e ativar a regra. O caminho do ficheiro de registo está definido com a propriedade substituível com o nome LogFile, e o valor tem de ser definido para o caminho completo para o ficheiro de registo que vai receber estes eventos, tal como definido na configuração do syslog. As substituições podem ser utilizadas para alterar os valores de parâmetros de todas as instâncias ou de instâncias ou grupos específicos.

Causas

Pode ocorrer uma falha de segurança por vários motivos. Estão disponíveis informações sobre a falha nos itens, eventos e alertas de dados de saída associados.

Resoluções

A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Para diagnosticar o problema, verifique os detalhes do evento associado e de quaisquer outros eventos de segurança que tenham ocorrido próximo da hora desta falha.

Element properties:

TargetMicrosoft.Solaris.11.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Foi detetado um Alerta Crítico de Autenticação
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris Alert False -->

    <!-- [INPUT] Nov 30 16:22:28 jeffcof-sol11-x86 su: [ID 810491 auth.crit] 'su root' failed for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/messages</LogFile>

      <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>