Home
  •  

Kritisk varningsregel för Syslog Auth

Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert (Rule)

Varningsregel för kritiska meddelanden för auth i syslog.

Knowledge Base article:

Sammanfattning

En kritisk händelse för auth har identifierats i systemloggfilerna.

Konfiguration

Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.

Orsaker

Ett säkerhetsfel kan inträffa av många olika orsaker. Information om felet finns i associerade utdataposter, händelser och varningar.

Lösningar

Information om det påträffade problemet finns i varningsbeskrivningen och/eller utdataposten. Läs informationen om den associerade händelsen och eventuella andra säkerhetshändelser som inträffade vid tidpunkten för misslyckandet för att diagnosticera problemet.

Element properties:

TargetMicrosoft.Solaris.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Kritisk varning för Auth identifierades
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris Alert False -->

    <!-- [INPUT] Oct 29 17:52:29 scxsun14 su: [ID 810491 auth.crit] 'su root' failed for jeffcof on /dev/pts/1 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/adm/messages</LogFile>

      <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>