Avamar：如何检索登录到 Avamar Administrator 控制台的主机名（或 IP 地址）

为确保环境中的安全性，客户可以要求支持团队确认哪些主机最近登录了 Avamar 管理员控制台。

在 UNIX 中，命令“last”用于检查帐户登录信息（包括 IP 地址和时间戳），但没有对等的 Avamar 命令。

下面列出了查找登录到 Avamar 网格的主机或 IP 地址（及关联用户帐户）的一些方法。

方法 1：MCCLI

检查事件代码 22339（成功登录）： 

mccli event show | grep 22339

输出示例：

3421725 2021-12-29 21:55:12 GMT AUDIT 22339 SECURITY USER / User login successful
3420804 2021-12-29 15:17:13 GMT AUDIT 22339 SECURITY USER / User login successful
...
...
3412709 2021-12-28 14:06:11 GMT AUDIT 22339 SECURITY USER / User login successful

一 eventid 然后可以进一步检查以获取更多信息：

mccli event show --id=3412709

0,23000,CLI command completed successfully.
Attribute Value
--------- ----------------------------------
ID 3412709
Date 2021-12-27 07:35:52 GMT
Type AUDIT
Code 22339
Category SECURITY
Severity USER
Domain /
Summary User login successful
SW Source MCS:AvmgrLoginModule::USER::LOGON
For Whom Field Support Personnel
HW Source avamar
Description User login successful
Remedy No action required.
Notes N/A
Data <data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.103&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>

上面的例子表明 MCUser 已于 2021-12-27 07：35：52 GMT 从主机 IP 10.10.10.103 登录。

方法 2：日志审查（推荐）。

使用以下字符串搜索 mcserver 日志：
（这将显示上次登录）

grep "^FINE.*events.*22339.*MCGUI" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr

输出示例：

26:FINE: query = insert into events (date_time, code, eid, source, data, ts, category, type, severity, swSource, summary, remedy, notes, description, audience, domain ) values ('2021-12-29 02:54:22.672+00',22339,3419008,'<event-source NodeID="avamar" ProgramName="com.avamar.mc.dpn.DPNProxyService" ddr-id="" ddr-name="" gsan-version="19.3.0-149" hardware-id="FC6AVxxxxxxx_100-580-644_A03" source-hardware-id="FC6AVxxxxxxxxxx_100-580-644_A03"/>','<data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.36&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>',1640746462672,'SECURITY','AUDIT','USER','MCS:AvmgrLoginModule::USER::LOGON','User login successful',NULL,NULL,NULL,NULL,'/')
...
...
23:FINE: query = insert into events (date_time, code, eid, source, data, ts, category, type, severity, swSource, summary, remedy, notes, description, audience, domain ) values ('2021-12-29 06:48:56.112+00',22339,3419584,'<event-source NodeID="avamar" ProgramName="com.avamar.mc.dpn.DPNProxyService" ddr-id="" ddr-name="" gsan-version="19.3.0-149" hardware-id="FC6AVxxxxxxxx_100-580-644_A03" source-hardware-id="FC6AVxxxxxxxxx_100-580-644_A03"/>','<data><entry key="action" type="text" value="login" version="1"/><entry key="requestor" type="xml" value="&lt;requestor domain=&quot;/&quot; host=&quot;10.10.10.5&quot; product=&quot;MCGUI&quot; role=&quot;Administrator&quot; user=&quot;MCUser&quot;/&gt;" version=""/></data>',1640760536112,'SECURITY','AUDIT','USER','MCS:AvmgrLoginModule::USER::LOGON','User login successful',NULL,NULL,NULL,NULL,'/') 

其他有用的命令：

• 使用事件 ID 22801 可在管理控制台服务器 （MCS） UI 中找到失败的登录尝试：

grep "^FINE.*events.*22801.*MCGUI" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr 

• 通过将产品从 MCGUI 替换为 MCREST，可以找到对 Avamar 用户界面 （AUI） 或 REST API 进行的登录尝试：

grep "^FINE.*events.*22339.*MCREST" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr 

• 尝试使用 MCREST 和事件 ID 22801 登录 AUI/REST API 失败：

grep "^FINE.*events.*22801.*MCREST" /usr/local/avamar/var/mc/server_log/mcserver.log.* | sed 's/^\/usr\/local\/avamar\/var\/mc\/server_log\/mcserver.log.//g' | sort -nr