Home
  •  

Règle d'alerte critique d'authentification de Syslog

Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert (Rule)

Règle d'alerte pour messages critiques d'authentification dans Syslog.

Knowledge Base article:

Résumé

Un événement critique d'authentification a été détecté dans les fichiers journaux système.

Configuration

Cette règle est désactivée par défaut. Pour activer cette règle à des fins d'analyse, utilisez des remplacements pour configurer le chemin d'accès au fichier journal et activer la règle. Le chemin d'accès au fichier journal est défini avec la propriété substituable nommée LogFile, et la valeur doit être définie sur le chemin d'accès complet au fichier journal qui recevra ces événements, tel que défini dans la configuration syslog. Les remplacements permettent de modifier les valeurs de paramètres pour toutes les instances, ou pour des instances ou groupes spécifiques.

Causes

Un incident au niveau de la sécurité peut être dû à plusieurs raisons. Des informations relatives à cet échec sont disponibles dans l'élément de données de sortie, les alertes et les événements connexes.

Résolutions

La description de l'alerte et/ou de l'élément de données de sortie contient des informations sur le problème rencontré. Consultez les détails des événements connexes ou des événements de sécurité survenus à peu près au même moment que l'erreur pour diagnostiquer le problème.

Element properties:

TargetMicrosoft.Solaris.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Alerte critique d'authentification détectée
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris Alert False -->

    <!-- [INPUT] Oct 29 17:52:29 scxsun14 su: [ID 810491 auth.crit] 'su root' failed for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/messages</LogFile>

      <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>