例: イベント・カウントに基づいてイベント・ポリシーをトリガーする
このセクションでは、2 つの例について説明します。
、 RADIUS_LOGIN_FAIL
TELNET_LOGIN_FAIL
、および SSH_LOGIN_FAIL
イベントは、実際の Junos OS イベントではありません。これらは、これらの例を具体的に説明したものです。
例1
と呼ばれる login
イベント ポリシーを設定します。ポリシーは login
、5 つのログイン失敗イベント(RADIUS_LOGIN_FAIL
、 、 TELNET_LOGIN_FAIL
または SSH_LOGIN_FAIL
)が 120 秒以内に生成された場合に実行されます。ユーザー アカウントを無効にする login-fail.xsl イベント スクリプトを実行して、アクションを実行します。
[edit event-options] policy login { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } then { event-script login-fail.xsl { destination some-dest; } } }
表 1 は、イベントがどのようにカウントに追加されるかを示しています。
イベント番号 |
イベント |
時間 |
カウント |
順序 |
---|---|---|---|---|
1 |
|
00:00:00 |
1 |
[1] |
2 |
|
00:00:20 |
2 |
[1 2] |
3 |
|
00:02:05 |
2 |
[2 3] |
4 |
|
00:02:40 |
2 |
[3 4] |
5 |
|
00:02:55 |
3 |
[3 4 5] |
6 |
|
00:03:01 |
4 |
[3 4 5 6] |
7 |
|
00:03:55 |
5 |
[3 4 5 6 7] |
表 1 の列は、以下を意味します。
イベント番号 — イベント シーケンス番号。
イベント — イベント プロセスによって受信されたポリシー ログイン イベント(イベント付き)。
時間 — イベントがイベントを
hh:mm:ss
受信した時刻(形式)。カウント — 過去 120 秒以内にイベントによって受信されたイベントの数。
順序 — 過去 120 秒以内にイベントによって受信されたイベントの順序。
時刻 00:03:55 では、count の値は 4 を超えています。そのため、ポリシーは login
login-fail.xsl スクリプトを実行します。
例2
と呼ばれる login
イベント ポリシーを設定します。このポリシーは login
、ユーザー名から 120 秒以内に 5 つのログイン失敗イベント(RADIUS_LOGIN_FAIL
、 TELNET_LOGIN_FAIL
、または SSH_LOGIN_FAIL
)が生成された場合に実行されます roger
。ユーザー アカウントを無効にする login-fail.xsl イベント スクリプトを実行して、アクションを roger
実行します。
[edit event-options] policy p2 { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } attributes-match { RADIUS_LOGIN_FAIL.username matches roger; TELNET_LOGIN_FAIL.username matches roger; } then { event-script login-fail.xsl { destination some-dest; } } }