Règle d'alerte pour messages critiques d'authentification dans Syslog.
Un événement critique d'authentification a été détecté dans les fichiers journaux système.
Un incident au niveau de la sécurité peut être dû à plusieurs raisons. Des informations à propos de cet échec sont disponibles dans l'élément de données de sortie, les alertes et les événements connexes.
La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur le problème rencontré. Consultez les détails des événements connexes ou des événements de sécurité survenus à peu près au même moment que l'incident pour diagnostiquer le problème.
Target | Microsoft.Solaris.9.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/adm/messages</LogFile>
<RegExpFilter>.*[Aa]uth\.([Cc]rit|[Ee]merg|[Aa]lert).*</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>