Avamar：如何擷取登入 Avamar Administrator Console 的主機名稱 （或 IP 位址）

為確保環境的安全性，客戶可要求支援小組確認最近登入 Avamar Administrator Console 的主機。

在 UNIX 中，命令「last」用於檢查帳戶登入資訊 （包括 IP 位址和時間戳記），但沒有等效的 Avamar 命令。

以下列出一些尋找登入 Avamar 格線之主機或 IP 位址 （及相關使用者帳戶） 的方法。

方法 1：麥克利

檢查事件代碼 22339 （成功登入）： 

mccli event show | grep 22339

範例輸出：

3421725 2021-12-29 21:55:12 GMT AUDIT 22339 SECURITY USER / User login successful
3420804 2021-12-29 15:17:13 GMT AUDIT 22339 SECURITY USER / User login successful
...
...
3412709 2021-12-28 14:06:11 GMT AUDIT 22339 SECURITY USER / User login successful

一 eventid 然後可以進一步檢查以獲取更多資訊：

mccli event show --id=3412709

0,23000,CLI command completed successfully.
Attribute Value
--------- ----------------------------------
ID 3412709
Date 2021-12-27 07:35:52 GMT
Type AUDIT
Code 22339
Category SECURITY
Severity USER
Domain /
Summary User login successful
SW Source MCS:AvmgrLoginModule::USER::LOGON
For Whom Field Support Personnel
HW Source avamar
Description User login successful
Remedy No action required.
Notes N/A
Data <data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.103&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>

上面的示例顯示 MCUser 從主機 IP 10.10.10.103 於 2021-12-27 07：35：52 GMT 登錄。

方法 2：記錄審查（建議）。

使用下列字串搜尋 mcserver 記錄：
（這會顯示最新的登入時間）

grep "^FINE.*events.*22339.*MCGUI" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr

範例輸出：

26:FINE: query = insert into events (date_time, code, eid, source, data, ts, category, type, severity, swSource, summary, remedy, notes, description, audience, domain ) values ('2021-12-29 02:54:22.672+00',22339,3419008,'<event-source NodeID="avamar" ProgramName="com.avamar.mc.dpn.DPNProxyService" ddr-id="" ddr-name="" gsan-version="19.3.0-149" hardware-id="FC6AVxxxxxxx_100-580-644_A03" source-hardware-id="FC6AVxxxxxxxxxx_100-580-644_A03"/>','<data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.36&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>',1640746462672,'SECURITY','AUDIT','USER','MCS:AvmgrLoginModule::USER::LOGON','User login successful',NULL,NULL,NULL,NULL,'/')
...
...
23:FINE: query = insert into events (date_time, code, eid, source, data, ts, category, type, severity, swSource, summary, remedy, notes, description, audience, domain ) values ('2021-12-29 06:48:56.112+00',22339,3419584,'<event-source NodeID="avamar" ProgramName="com.avamar.mc.dpn.DPNProxyService" ddr-id="" ddr-name="" gsan-version="19.3.0-149" hardware-id="FC6AVxxxxxxxx_100-580-644_A03" source-hardware-id="FC6AVxxxxxxxxx_100-580-644_A03"/>','<data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.5&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>',1640760536112,'SECURITY','AUDIT','USER','MCS:AvmgrLoginModule::USER::LOGON','User login successful',NULL,NULL,NULL,NULL,'/') 

其他有用的命令：

• 使用事件 ID 22801 可在管理主控台伺服器 （MCS） UI 中找到失敗的登入嘗試：

grep "^FINE.*events.*22801.*MCGUI" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr 

• 將產品從 MCGUI 更換為 MCREST，即可找到對 Avamar 使用者介面 （AUI） 或 REST API 的登入嘗試：

grep "^FINE.*events.*22339.*MCREST" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr 

• 使用 MCREST 和 eventID 登入 AUI/REST API 失敗 22801：

grep "^FINE.*events.*22801.*MCREST" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr