PowerScale：監査ログで間違ったパスワードを継続的に送信するユーザー情報を見つける

不適切に構成されたアプリケーションやサイバー攻撃によって、誤ったパスワードでクラスターへのアクセスが継続的に試行される可能性があります。これにより、ユーザーのセキュリティ ポリシーに基づいてアカウントがロックされる可能性があります。OneFSプロトコル監査は、これらのリクエストのユーザー情報を見つけるのに役立ちます。

クラスターで監査サービスおよびプロトコル監査機能を有効にする必要があります。

ユーザーは、監視する関連アクセス ゾーンとログイン失敗イベントを監査する必要があります。一部のクラスターのパフォーマンスに影響を与える可能性があるため、過度な数のイベントを監査することは避ける必要があります

監査サービスを有効化します。

isi services isi_audit_d enable

プロトコル監査を有効にします。

isi audit settings global modify --protocol-auditing-enabled=true

モニタリングに関連するアクセス ゾーンを追加します。

isi audit settings global modify --audited-zones=Production

アクセス ゾーンにログイン失敗イベントを追加します。

isi audit settings modify --zone=Production --add-audit-failure=logon

監査が適切に構成された後、ログインの問題が発生した場合、ユーザーは「isi_audit_viewer」コマンドを使用して監査ログを検索します

この ntstatus エラー コード(16進数形式):

STATUS_WRONG_PASSWORD = 0xC000006A

監査ログでは、 ntstatus コードは 10 進数形式です。変換する必要があります 0xC000006A 3221225578.

間違ったパスワードによるログイン失敗の監査イベントの例:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221225578}}

関連コンテンツ:

• Dellの記事 「Isilon: OneFSの監査ログを表示する方法(この記事を表示するには、Dellサポートの登録ユーザーとしてログインする必要がある場合があります)。
• Microsoftの記事 [MS-ERREF]: NTSTATUS 値