PowerScale: Find brugeroplysninger om, hvem der kontinuerligt sender forkert adgangskode i revisionsloggen

Nogle dårligt konfigurerede programmer eller cyberangreb kan kontinuerligt forsøge at få adgang til klyngen med den forkerte adgangskode. Dette kan medføre, at kontoen låses baseret på brugerens sikkerhedspolitik. OneFS-protokolrevision kan hjælpe med at finde brugeroplysningerne for disse anmodninger.

Funktionerne Overvågningstjeneste og Protokolovervågning skal være aktiveret på klyngen. 

Brugeren skal overvåge for den relevante adgangszone, der skal overvåges, og for loginfejlhændelsen. De bør undgå revision for mange hændelser, da det kan påvirke ydeevnen på nogle klynger.

Aktivér overvågningstjeneste:

isi services isi_audit_d enable

Aktivér protokolovervågning:

isi audit settings global modify --protocol-auditing-enabled=true

Tilføj den relevante adgangszone til overvågning:

isi audit settings global modify --audited-zones=Production

Tilføj hændelsen med logonfejl i adgangszonen:

isi audit settings modify --zone=Production --add-audit-failure=logon

Når revisionen er korrekt konfigureret, når loginproblemet opstår, kan brugeren bruge "isi_audit_viewer" for at søge i revisionsloggen.

Den ntstatus Fejlkode i hexadecimalt format:

STATUS_WRONG_PASSWORD = 0xC000006A

I overvågningsloggen ntstatus Koden er i decimalformat. Du skal konvertere 0xC0zzz06A til 3221zzz578.

Eksempel på auditeringshændelse for logonfejl med forkert adgangskode:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Relateret indhold:

• Dell-artikel Isilon: Hvordan får jeg vist overvågningslogge for OneFS? (Log på som registreret Dell Support-bruger kan være påkrævet for at se denne artikel.)
• Microsoft-artikel [MS-ERREF]: NTSTATUS-værdier