Ejemplo: activar una política de eventos basada en el recuento de eventos
En esta sección se analizan dos ejemplos.
Los RADIUS_LOGIN_FAIL
eventos , , TELNET_LOGIN_FAIL
y SSH_LOGIN_FAIL
no son eventos reales de Junos OS. Son ilustrativos para estos ejemplos.
Ejemplo 1
Configure una directiva de eventos denominada login
. La login
política se ejecuta si se generan cinco eventos de error de inicio de sesión (RADIUS_LOGIN_FAIL
, TELNET_LOGIN_FAIL
, o SSH_LOGIN_FAIL
) en 120 segundos. Para realizar acciones, ejecute el script de eventos login-fail.xsl , que deshabilita la cuenta de usuario.
[edit event-options] policy login { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } then { event-script login-fail.xsl { destination some-dest; } } }
La Tabla 1 muestra cómo los eventos se suman al recuento.
Número de evento |
Evento |
Hora |
Contar |
Orden |
---|---|---|---|---|
1 |
|
00:00:00 |
1 |
[1] |
2 |
|
00:00:20 |
2 |
[1 2] |
3 |
|
00:02:05 |
2 |
[2 3] |
4 |
|
00:02:40 |
2 |
[3 4] |
5 |
|
00:02:55 |
3 |
[3 4 5] |
6 |
|
00:03:01 |
4 |
[3 4 5 6] |
7 |
|
00:03:55 |
5 |
[3 4 5 6 7] |
Las columnas de la Tabla 1 significan lo siguiente:
Número de evento: número de secuencia de eventos.
Evento: eventos de inicio de sesión de políticas recibidos por el proceso de eventos (evento).
Hora: hora (en formato) en
hh:mm:ss
la que el evento recibe el evento.Contar: el número de eventos recibidos por evento en los últimos 120 segundos.
Orden: orden de los eventos tal como fueron recibidos por los eventos en los últimos 120 segundos.
En el momento 00:03:55, el valor del recuento es más de 4; Por lo tanto, la login
directiva ejecuta el script login-fail.xsl.
Ejemplo 2
Configure una directiva de eventos denominada login
. La login
política se ejecuta si se generan cinco eventos de error de inicio de sesión (RADIUS_LOGIN_FAIL
, TELNET_LOGIN_FAIL
, o SSH_LOGIN_FAIL
) dentro de los 120 segundos posteriores al nombre roger
de usuario . Para realizar acciones, ejecute el script de eventos login-fail.xsl , que deshabilita la cuenta de roger
usuario.
[edit event-options] policy p2 { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } attributes-match { RADIUS_LOGIN_FAIL.username matches roger; TELNET_LOGIN_FAIL.username matches roger; } then { event-script login-fail.xsl { destination some-dest; } } }