PowerScale: Vyhledání informací o uživateli, který neustále odesílá nesprávné heslo v protokolu auditu

Některé špatně nakonfigurované aplikace nebo kybernetický útok se mohou neustále pokoušet o přístup ke clusteru s nesprávným heslem. To může způsobit, že se účet uzamkne na základě zásad zabezpečení uživatele. Audit protokolu OneFS může pomoci najít informace o uživateli těchto požadavků.

V clusteru musí být povoleny funkce služby auditu a auditování protokolu. 

Uživatel musí provést audit pro příslušnou přístupovou zónu, která se má monitorovat, a pro událost selhání přihlášení. Měli by se vyhnout auditování příliš mnoha událostí, protože to může mít vliv na výkon některých clusterů.

Povolení služby auditu:

isi services isi_audit_d enable

Povolit auditování protokolu:

isi audit settings global modify --protocol-auditing-enabled=true

Přidejte příslušnou přístupovou zónu pro monitorování:

isi audit settings global modify --audited-zones=Production

Přidejte událost selhání přihlášení do zóny přístupu:

isi audit settings modify --zone=Production --add-audit-failure=logon

Po správné konfiguraci auditu, když dojde k problému s přihlášením, může uživatel použít "isi_audit_viewer" pro prohledání protokolu auditu.

Ten ntstatus Kód chyby v hexadecimálním formátu:

STATUS_WRONG_PASSWORD = 0xC000006A

V protokolu auditu se ntstatus Kód je v desítkovém formátu. Je nutné převést 0xC0zzz06A na 3221zzz578.

Příklad události auditu pro selhání přihlášení s nesprávným heslem:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Související obsah:

• Článek společnosti Dell Isilon: Jak zobrazit protokoly auditu pro OneFS? (K přečtení tohoto článku může být nutné přihlásit se jako registrovaný uživatel podpory Dell.)
• Článek společnosti Microsoft [MS-ERREF]: Hodnoty NTSTATUS