PowerScale : Rechercher des informations utilisateur sur les personnes qui envoient continuellement un mot de passe erroné dans le journal d’audit
Summary: Comment trouver les informations utilisateur sur l’utilisateur qui envoie continuellement un mot de passe erroné dans le journal d’audit.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Une application mal configurée ou une cyberattaque peut continuellement tenter d’accéder au cluster avec un mot de passe erroné. Cela peut entraîner le verrouillage du compte en fonction de la stratégie de sécurité de l’utilisateur. L’audit de protocole OneFS peut vous aider à localiser les informations utilisateur de ces demandes.
Le service d’audit et les fonctionnalités d’audit de protocole doivent être activés sur le cluster.
L’utilisateur doit effectuer un audit pour la zone d’accès appropriée à surveiller et pour l’événement d’échec de connexion. Ils doivent éviter d’effectuer des audits pour un trop grand nombre d’événements, car cela peut avoir un impact sur les performances de certains clusters.
Activer le service d’audit :
isi services isi_audit_d enable
Activez l’audit de protocole :
isi audit settings global modify --protocol-auditing-enabled=true
Ajoutez la zone d’accès appropriée pour la surveillance :
isi audit settings global modify --audited-zones=Production
Ajoutez l’événement d’échec de connexion dans la zone d’accès :
isi audit settings modify --zone=Production --add-audit-failure=logon
Une fois l’audit correctement configuré, lorsque le problème de connexion se produit, l’utilisateur peut utiliser l’option «isi_audit_viewer" pour effectuer une recherche dans le journal d’audit.
Le ntstatus Code d’erreur au format hexadécimal :
STATUS_WRONG_PASSWORD = 0xC000006A
Dans le journal d’audit, l’attribut ntstatus Le code est au format décimal. Vous devez convertir le 0xC0zzz06A au 3221zzz578.
Exemple d’événement d’audit pour l’échec de la connexion avec un mot de passe incorrect :
[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}Additional Information
Contenu connexe :
- Article Dell Isilon : Comment afficher les journaux d’audit pour OneFS ? (Il peut être nécessaire de se connecter en tant qu’utilisateur du support Dell enregistré pour consulter cet article.)
- Article Microsoft [MS-ERREF] : Valeurs NTSTATUS
Affected Products
PowerScaleArticle Properties
Article Number: 000385054
Article Type: How To
Last Modified: 29 Oct 2025
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.