PowerScale: Hitta användarinformation för den som kontinuerligt skickar fel lösenord i granskningsloggen

Vissa dåligt konfigurerade program eller cyberattacker kan kontinuerligt försöka komma åt klustret med fel lösenord. Detta kan leda till att kontot låses baserat på användarens säkerhetsprincip. OneFS-protokollgranskning kan hjälpa till att hitta användarinformationen för dessa förfrågningar.

Granskningstjänsten och protokollgranskningsfunktionerna måste vara aktiverade i klustret. 

Användaren måste granska den relevanta åtkomstzonen som ska övervakas och för inloggningsfelshändelsen. De bör undvika granskning för för många händelser eftersom det kan påverka prestanda i vissa kluster.

Aktivera granskningstjänst:

isi services isi_audit_d enable

Aktivera protokollgranskning:

isi audit settings global modify --protocol-auditing-enabled=true

Lägg till relevant åtkomstzon för övervakning:

isi audit settings global modify --audited-zones=Production

Lägg till inloggningsfelhändelsen i åtkomstzonen:

isi audit settings modify --zone=Production --add-audit-failure=logon

När granskningen har konfigurerats korrekt och inloggningsproblemet inträffar kan användaren använda "isi_audit_viewer" för att söka i granskningsloggen.

Den ntstatus Felkod i hexadecimalt format:

STATUS_WRONG_PASSWORD = 0xC000006A

I granskningsloggen ntstatus Koden är i decimalformat. Du måste konvertera 0xC0zzz06A till 3221zzz578.

Exempel på granskningshändelse för inloggningsfel med fel lösenord:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Relaterat innehåll:

• Dell-artikel Isilon: Hur visar jag granskningsloggar för OneFS? (Logga in som registrerad Dell-supportanvändare kan krävas för att visa den här artikeln.)
• Microsoft-artikel [MS-ERREF]: NTSTATUS-värden