PowerScale：在審核紀錄中尋找持續發送錯誤密碼的使用者資訊

一些設定不當的應用程式或網路攻擊可能會持續嘗試使用錯誤的密碼存取叢集。這可能會導致帳戶根據使用者的安全策略被鎖定。OneFS 通訊協定稽核可協助找出這些要求的使用者資訊。

必須在群集上啟用審核服務和協定審核功能。

使用者必須稽核相關的存取區域以監控和登入失敗事件。他們應避免稽核過多的事件，因為這可能會影響某些叢集的效能。

啟用稽核服務：

isi services isi_audit_d enable

啟用通訊協定稽核：

isi audit settings global modify --protocol-auditing-enabled=true

新增相關的存取區域以進行監控：

isi audit settings global modify --audited-zones=Production

在存取區域中新增登入失敗事件：

isi audit settings modify --zone=Production --add-audit-failure=logon

正確配置審核后，當發生登錄問題時，使用者可以使用”isi_audit_viewer命令，以搜尋稽核記錄。

的 ntstatus 十六進位格式的錯誤代碼：

STATUS_WRONG_PASSWORD = 0xC000006A

在審核日誌中， ntstatus 代碼採用十進位格式。您必須轉換 0xC000006A 到3221225578。

使用錯誤密碼登入失敗的稽核事件範例：

[5: Fri Oct 24 02:15:47 2025] {"id":"354f003e-97f7-11ef-9d81-0050569b863c","timestamp":1730427347886092,"payloadType":"4b66b1eb-6e1a-416d-b80c-5a642a603a0b","payload":{"zoneID":1,"zoneName":"Production","eventType":"logon","clientIPAddr":"192.1xx.1.1x0","ntStatus":3221225578}}

相關內容：

• Dell 文章 Isilon：如何檢視 OneFS 的稽核記錄？（可能需要以已註冊的 Dell 支援使用者身分登入才能檢視本文。）
• Microsoft文章 [MS-ERREF]：NTSTATUS 值