Regla de alerta para mensajes críticos de autenticación en Syslog.
Se detectó un evento crítico de autenticación en los archivos de registro del sistema.
Se puede producir un error de seguridad por diversos motivos. Hay información disponible sobre el error en el elemento de datos de salida, en los eventos y en las alertas asociados.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el problema detectado. Compruebe los detalles de los eventos asociados, así como cualquier otro evento de seguridad ocurrido aproximadamente a la hora de este error para diagnosticar el problema.
| Target | Microsoft.Solaris.9.Computer | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Alert Generate | True | ||
| Alert Severity | Warning | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
|
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
| GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
Home
ESN <Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/messages</LogFile>
<RegExpFilter>.*[Aa]uth\.([Cc]rit|[Ee]merg|[Aa]lert).*</RegExpFilter>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>