PowerScale: Finne brukerinformasjon for hvem som kontinuerlig sender feil passord i overvåkingsloggen

Enkelte dårlig konfigurerte programmer eller cyberangrep kan kontinuerlig forsøke å få tilgang til klyngen med feil passord. Dette kan føre til at kontoen låses basert på brukerens sikkerhetspolicy. OneFS-protokollrevisjon kan hjelpe deg med å finne brukerinformasjonen for disse forespørslene.

Funksjonene revisjonstjeneste og protokollrevisjon må aktiveres på klyngen. 

Brukeren må se revisjonen av den relevante tilgangssonen for å overvåke og for påloggingsfeilhendelsen. De bør unngå auditering for mange hendelser, siden det kan påvirke ytelsen i enkelte klynger.

Aktiver revisjonstjenesten:

isi services isi_audit_d enable

Aktiver protokollrevisjon:

isi audit settings global modify --protocol-auditing-enabled=true

Legg til relevant tilgangssone for overvåking:

isi audit settings global modify --audited-zones=Production

Legg til hendelsen for påloggingsfeil i tilgangssonen:

isi audit settings modify --zone=Production --add-audit-failure=logon

Etter at revisjonen er riktig konfigurert, når påloggingsproblemet skjer, kan brukeren bruke "isi_audit_viewer" kommando for å søke i revisjonsloggen.

Den ntstatus Feilkode i heksadesimalformat:

STATUS_WRONG_PASSWORD = 0xC000006A

I overvåkingsloggen vises ntstatus Kode er i desimalformat. Du må konvertere 0xC0zzz06A til 3221ZZ578.

Eksempel på revisjonshendelse for påloggingsfeil med feil passord:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Relatert innhold:

• Dell artikkel Isilon: Hvordan viser jeg revisjonslogger for OneFS? (Logg på som registrert Dell-støttebruker kan være nødvendig for å lese denne artikkelen.)
• Microsoft article [MS-ERREF]: NTSTATUS-verdier