示例:根据事件计数触发事件策略
本节讨论两个示例。
TELNET_LOGIN_FAIL、 RADIUS_LOGIN_FAIL和SSH_LOGIN_FAIL事件不是真正的 Junos OS 事件。它们是这些示例的说明。
示例 1
配置称为 的事件login策略。如果在 120 秒内生成了 5 个登录故障事件(RADIUS_LOGIN_FAIL或TELNET_LOGIN_FAILSSH_LOGIN_FAIL),策略login将执行。执行禁用用户帐户的登录-fail.xsl 事件脚本,以采取措施。
[edit event-options]
policy login {
events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ];
within 120 {
trigger after 4;
}
then {
event-script login-fail.xsl {
destination some-dest;
}
}
}
表 1 显示了事件如何添加到计数中。
事件编号 |
事件 |
时间 |
计数 |
以 |
|---|---|---|---|---|
1 |
|
00:00:00 |
1 |
[1] |
2 |
|
00:00:20 |
2 |
[1 2] |
3 |
|
00:02:05 |
2 |
[2 3] |
4 |
|
00:02:40 |
2 |
[3 4] |
5 |
|
00:02:55 |
3 |
[3 4 5] |
6 |
|
00:03:01 |
4 |
[3 4 5 6] |
7 |
|
00:03:55 |
5 |
[3 4 5 6 7] |
表 1 中的列表示以下内容:
事件编号 — 事件序列号。
事件 — 事件流程收到的策略登录事件(事件)。
时间—事件接收事件时的时间(
hh:mm:ss格式)。计数 — 事件在过去 120 秒内接收的事件数。
订单 — 事件在过去 120 秒内收到的事件顺序。
当时间 00:03:55 时,计数值超过 4:因此,策略 login 将执行 登录-fail.xsl 脚本。
示例 2
配置称为 的事件login策略。如果用户名在 120 秒内生成了 5 个登录故障事件(RADIUS_LOGIN_FAIL或 SSH_LOGIN_FAILTELNET_LOGIN_FAIL),则login该策略roger将执行。执行禁roger用用户帐户的登录-fail.xsl 事件脚本,以采取措施。
[edit event-options]
policy p2 {
events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ];
within 120 {
trigger after 4;
}
attributes-match {
RADIUS_LOGIN_FAIL.username matches roger;
TELNET_LOGIN_FAIL.username matches roger;
}
then {
event-script login-fail.xsl {
destination some-dest;
}
}
}