PowerScale:查找在审核日志中不断发送错误密码的用户信息

Summary: 如何查找在审核日志中不断发送错误密码的用户信息。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

某些配置错误的应用程序或网络攻击可能会不断尝试使用错误的密码访问群集。这可能会导致帐户根据用户的安全策略被锁定。OneFS 协议审核可以帮助找到这些请求的用户信息。

必须在群集上启用审核服务和协议审核功能。

用户必须审核要监视的相关访问分区和登录失败事件。他们应避免审核太多事件,因为这可能会影响某些群集的性能。

启用审核服务:

isi services isi_audit_d enable

启用协议审核:

isi audit settings global modify --protocol-auditing-enabled=true

添加用于监视的相关访问分区:

isi audit settings global modify --audited-zones=Production

在访问分区中添加登录失败事件:

isi audit settings modify --zone=Production --add-audit-failure=logon

正确配置审核后,当发生登录问题时,用户可以使用”isi_audit_viewer“命令搜索审核日志。

ntstatus 十六进制格式的错误代码:

STATUS_WRONG_PASSWORD = 0xC000006A

在审核日志中, ntstatus 代码采用十进制格式。您必须将 0xC0zzz06A 至3221ZZZ578。

使用错误密码登录失败的审核事件示例:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221zzz578}}

Additional Information

相关内容:

Affected Products

PowerScale
Article Properties
Article Number: 000385054
Article Type: How To
Last Modified: 29 Oct 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.