Regra de alerta para as mensagens críticas de autorização no syslog.
Foi detectado um evento crítico de autorização nos arquivos de log do sistema.
Uma falha de segurança pode ocorrer por várias razões. As informações sobre a falha estão disponíveis no item de dados de saída, em alertas e eventos.
A descrição do alerta e/ou do item de dados de saída contém informações sobre o problema encontrado. Verifique os detalhes do evento relacionado e todos os outros eventos de segurança que ocorreram por volta do horário dessa falha para diagnosticar o problema.
| Target | Microsoft.Solaris.8.Computer | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Alert Generate | True | ||
| Alert Severity | Warning | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
|
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
| GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
Home
PTB <Rule ID="Microsoft.Solaris.8.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.8.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/messages</LogFile>
<RegExpFilter>.*[Aa]uth\.([Cc]rit|[Ee]merg|[Aa]lert).*</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.8.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>