PowerScale: Знайдіть інформацію про користувачів, які постійно надсилають неправильний пароль у журналі аудиту

Деякі неправильно налаштовані додатки або кібератаки можуть постійно намагатися отримати доступ до кластера з неправильним паролем. Це може призвести до блокування акаунта відповідно до політики безпеки користувача. Аудит протоколу OneFS може допомогти знайти інформацію про користувачів цих запитів.

На кластері мають бути увімкнені функції аудиту та протоколу аудиту. 

Користувач повинен провести перевірку відповідної зони доступу для моніторингу та випадок збою входу. Вони повинні уникати аудиту для надто великої кількості подій, оскільки це може вплинути на результати деяких кластерів.

Сервіс увімкнути аудит:

isi services isi_audit_d enable

Увімкнути аудит протоколу:

isi audit settings global modify --protocol-auditing-enabled=true

Додайте відповідну зону доступу для моніторингу:

isi audit settings global modify --audited-zones=Production

Додайте подію невдачі входу в зону доступу:

isi audit settings modify --zone=Production --add-audit-failure=logon

Після коректного налаштування аудиту, коли виникає проблема з входом, користувач може скористатися "isi_audit_viewer" команди для пошуку в журналі аудиту.

The ntstatus Error code in hexadecimal format:

STATUS_WRONG_PASSWORD = 0xC000006A

У журналі аудиту ntstatus код у десятковому форматі. Ви повинні перетворити 0xC000006A 3221225578.

Приклад події аудиту при помилці входу з неправильним паролем:

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221225578}}

Пов'язаний контент:

• Стаття Dell про Isilon: Як переглядати журнали аудиту для OneFS? (Для перегляду цієї статті може знадобитися увійти як зареєстрований користувач Dell Support.)
• Стаття Microsoft [MS-ERREF]: Значення NTSTATUS