例: イベント・カウントに基づいてイベント・ポリシーをトリガーする
このセクションでは、2 つの例について説明します。
、 RADIUS_LOGIN_FAILTELNET_LOGIN_FAIL、および SSH_LOGIN_FAIL イベントは、実際の Junos OS イベントではありません。これらは、これらの例を具体的に説明したものです。
例1
と呼ばれる loginイベント ポリシーを設定します。ポリシーは login 、5 つのログイン失敗イベント(RADIUS_LOGIN_FAIL、 、 TELNET_LOGIN_FAILまたは SSH_LOGIN_FAIL)が 120 秒以内に生成された場合に実行されます。ユーザー アカウントを無効にする login-fail.xsl イベント スクリプトを実行して、アクションを実行します。
[edit event-options]
policy login {
events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ];
within 120 {
trigger after 4;
}
then {
event-script login-fail.xsl {
destination some-dest;
}
}
}
表 1 は、イベントがどのようにカウントに追加されるかを示しています。
イベント番号 |
イベント |
時間 |
カウント |
順序 |
|---|---|---|---|---|
1 |
|
00:00:00 |
1 |
[1] |
2 |
|
00:00:20 |
2 |
[1 2] |
3 |
|
00:02:05 |
2 |
[2 3] |
4 |
|
00:02:40 |
2 |
[3 4] |
5 |
|
00:02:55 |
3 |
[3 4 5] |
6 |
|
00:03:01 |
4 |
[3 4 5 6] |
7 |
|
00:03:55 |
5 |
[3 4 5 6 7] |
表 1 の列は、以下を意味します。
イベント番号 — イベント シーケンス番号。
イベント — イベント プロセスによって受信されたポリシー ログイン イベント(イベント付き)。
時間 — イベントがイベントを
hh:mm:ss受信した時刻(形式)。カウント — 過去 120 秒以内にイベントによって受信されたイベントの数。
順序 — 過去 120 秒以内にイベントによって受信されたイベントの順序。
時刻 00:03:55 では、count の値は 4 を超えています。そのため、ポリシーは login login-fail.xsl スクリプトを実行します。
例2
と呼ばれる loginイベント ポリシーを設定します。このポリシーは login 、ユーザー名から 120 秒以内に 5 つのログイン失敗イベント(RADIUS_LOGIN_FAIL、 TELNET_LOGIN_FAIL、または SSH_LOGIN_FAIL)が生成された場合に実行されます roger。ユーザー アカウントを無効にする login-fail.xsl イベント スクリプトを実行して、アクションを roger 実行します。
[edit event-options]
policy p2 {
events [ RADIUS_LOGIN_FAIL TELNET_LOGIN_FAIL SSH_LOGIN_FAIL ];
within 120 {
trigger after 4;
}
attributes-match {
RADIUS_LOGIN_FAIL.username matches roger;
TELNET_LOGIN_FAIL.username matches roger;
}
then {
event-script login-fail.xsl {
destination some-dest;
}
}
}