Syslog 驗證重大警示規則 - Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert (Rule) (ZHH)

Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert (Rule)

syslog 中之驗證重大訊息的警示規則。

Knowledge Base article:

摘要

在系統記錄檔中偵測到驗證重大事件。

設定

此規則預設為停用。若要啟用此規則以進行監視，請使用覆寫來設定記錄檔路徑及啟用規則。記錄檔路徑是使用名為 LogFile 的可覆寫內容進行設定，而其值必須設定為將接收這些事件之記錄檔的完整路徑，如同 Syslog 設定中所定義。您可以使用覆寫，針對所有執行個體或特定執行個體或群組來變更參數值。

原因

安全性失敗可能是由多種原因所造成。失敗相關資訊可以於關聯的輸出資料項目、事件和警示中取得。

解決方式

警示及/或輸出資料項目的描述包含所發生問題的資訊。請檢查關聯事件詳細資訊以及於此失敗時發生之任何其他安全性事件，以診斷問題。

Element properties:

Target

Microsoft.Solaris.9.Computer

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

偵測到驗證重大警示

{0}

Member Modules:

ID	Module Type	TypeId	RunAs
EventDS	DataSource	Microsoft.Unix.SCXLog.Datasource	Default
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="true" Remotable="true"> <Category>EventCollection</Category> <DataSources>   <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Datasource"> <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host> <LogFile>/var/adm/messages</LogFile> <RegExpFilter>\[ID [[:digit:]]+ auth\.(crit|emerg|alert)\]</RegExpFilter> <IndividualAlerts>false</IndividualAlerts> </DataSource> </DataSources> <WriteActions> <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert"> <Priority>1</Priority> <Severity>2</Severity> <AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Auth.Critical.AlertMessage"]$</AlertMessageId> <AlertParameters> <AlertParameter1>$Data/EventDescription$</AlertParameter1> </AlertParameters> <Suppression> <SuppressionValue/> </Suppression> </WriteAction> </WriteActions> </Rule>