示例:根据事件计数触发事件策略
本节讨论两个示例。
TELNET_LOGIN_FAIL
、 RADIUS_LOGIN_FAIL
和SSH_LOGIN_FAIL
事件不是真正的 Junos OS 事件。它们是这些示例的说明。
示例 1
配置称为 的事件login
策略。如果在 120 秒内生成了 5 个登录故障事件(RADIUS_LOGIN_FAIL
或TELNET_LOGIN_FAIL
SSH_LOGIN_FAIL
),策略login
将执行。执行禁用用户帐户的登录-fail.xsl 事件脚本,以采取措施。
[edit event-options] policy login { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } then { event-script login-fail.xsl { destination some-dest; } } }
表 1 显示了事件如何添加到计数中。
事件编号 |
事件 |
时间 |
计数 |
以 |
---|---|---|---|---|
1 |
|
00:00:00 |
1 |
[1] |
2 |
|
00:00:20 |
2 |
[1 2] |
3 |
|
00:02:05 |
2 |
[2 3] |
4 |
|
00:02:40 |
2 |
[3 4] |
5 |
|
00:02:55 |
3 |
[3 4 5] |
6 |
|
00:03:01 |
4 |
[3 4 5 6] |
7 |
|
00:03:55 |
5 |
[3 4 5 6 7] |
表 1 中的列表示以下内容:
事件编号 — 事件序列号。
事件 — 事件流程收到的策略登录事件(事件)。
时间—事件接收事件时的时间(
hh:mm:ss
格式)。计数 — 事件在过去 120 秒内接收的事件数。
订单 — 事件在过去 120 秒内收到的事件顺序。
当时间 00:03:55 时,计数值超过 4:因此,策略 login
将执行 登录-fail.xsl 脚本。
示例 2
配置称为 的事件login
策略。如果用户名在 120 秒内生成了 5 个登录故障事件(RADIUS_LOGIN_FAIL
或 SSH_LOGIN_FAIL
TELNET_LOGIN_FAIL
),则login
该策略roger
将执行。执行禁roger
用用户帐户的登录-fail.xsl 事件脚本,以采取措施。
[edit event-options] policy p2 { events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ]; within 120 { trigger after 4; } attributes-match { RADIUS_LOGIN_FAIL.username matches roger; TELNET_LOGIN_FAIL.username matches roger; } then { event-script login-fail.xsl { destination some-dest; } } }