Kontroll av falska data

Microsoft.SystemCenter.HealthService.Security.SpoofedDataCheck (UnitMonitor)

Övervakaren rapporterar om falska data tagits emot av den här System Center Management-tjänsten för hälsotillstånd.

Knowledge Base article:

Sammanfattning

Data nekas på grund av att agentproxy inte har aktiverats för den agent som försöker utföra åtgärden.

Orsaker

Agentproxy har inte aktiverats för agenten.

Lösningar

Aktivera agentproxy eller använd åsidosättanden för att inaktivera de relevanta identifieringarna för agenten. Så här aktiverar du agentproxy:

Klicka på Administration i driftkonsolen.
Leta rätt på datorn i vyn Agenthanterad
Öppna agentens Egenskaper
Markera alternativet Tillåt att den här agenten fungerar som proxy på fliken Säkerhet
Klicka på OK

Element properties:

Target

Microsoft.SystemCenter.HealthService

Parent Monitor

Microsoft.SystemCenter.HealthService.Security.DataIntegrityRollup

Category

SecurityHealth

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

High

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.RepeatedEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Dataintegritet: Varning

System Center Management-tjänsten för hälsotillstånd tar emot ogiltiga dataobjekt. Det här kan tyda på ett skadat hanteringspaket eller ett angrepp på System Center Management-tjänsten för hälsotillstånd. Granska aviseringssammanhanget för att få mer information.

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.SystemCenter.HealthService.Security.SpoofedDataCheck" Accessibility="Public" Enabled="true" Target="SCLibrary!Microsoft.SystemCenter.HealthService" ParentMonitorID="Microsoft.SystemCenter.HealthService.Security.DataIntegrityRollup" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.RepeatedEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.SystemCenter.HealthService.Security.DataIntegrityRollup_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>High</AlertPriority>

    <AlertSeverity>Warning</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="Microsoft.SystemCenter.HealthService.Security.SpoofedDataCheck.Warning" MonitorTypeStateID="RepeatedEventRaised" HealthState="Warning"/>

    <OperationalState ID="Microsoft.SystemCenter.HealthService.Security.SpoofedDataCheck.Success" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <RepeatedComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</RepeatedComputerName>

    <RepeatedLogName>Operations Manager</RepeatedLogName>

    <RepeatedExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">Params/Param[1]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">$Target/ManagementGroup/Name$</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">OpsMgr Connector</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <Or>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21037</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">21038</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

          </Or>

        </Expression>

      </And>

    </RepeatedExpression>

    <Consolidator>

      <ConsolidationProperties/>

      <TimeControl>

        <WithinTimeSchedule>

          <Interval>900</Interval>

        </WithinTimeSchedule>

      </TimeControl>

      <CountingCondition>

        <Count>2</Count>

        <CountMode>OnNewItemTestOutputRestart_OnTimerSlideByOne</CountMode>

      </CountingCondition>

    </Consolidator>

    <TimerWaitInSeconds>3600</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>