Шкала потужності: Знайдіть інформацію про користувача, який постійно надсилає неправильний пароль у журналі аудиту

Якась погано налаштована програма або кібератака можуть постійно намагатися отримати доступ до кластера з неправильним паролем. Це може призвести до блокування облікового запису відповідно до політики безпеки користувача. Аудит протоколу OneFS може допомогти знайти інформацію про користувачів цих запитів.

На кластері мають бути ввімкнені функції аудиту та аудиту протоколів. 

Користувач повинен провести аудит відповідної зони доступу для моніторингу та події помилки входу. Їм слід уникати аудиту для занадто великої кількості подій, оскільки це може вплинути на продуктивність деяких кластерів.

Увімкніть послугу Аудит:

isi services isi_audit_d enable

Увімкніть аудит протоколів:

isi audit settings global modify --protocol-auditing-enabled=true

Додайте відповідну зону доступу для моніторингу:

isi audit settings global modify --audited-zones=Production

Додайте подію помилки входу в зону доступу:

isi audit settings modify --zone=Production --add-audit-failure=logon

Після того, як аудит буде правильно налаштований, коли виникає проблема з входом, користувач може використовувати функцію «isi_audit_viewer" для пошуку в журналі аудиту.

Об'єкт ntstatus Код помилки в шістнадцятковому форматі:

STATUS_WRONG_PASSWORD = 0xC000006A

У журналі аудиту ntstatus код має десятковий формат. Ви повинні конвертувати 0xC0zzz06A до 3221zzz578.

Приклад події аудиту на предмет помилки входу з неправильним паролем:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Матеріали по темі:

• Стаття Dell Isilon: Як переглянути журнали аудиту для OneFS? (Увійдіть як зареєстрований користувач служби підтримки Dell, щоб переглянути цю статтю.)
• Стаття Microsoft [MS-ERREF]: Значення NTSTATUS