不明なホストからの監査ログのログイン試行失敗イベント
環境
- ONTAP 9
- SSH
- Event Management System(EMS;イベント管理システム)
問題
- セキュリティ監査ログでは、SSH認証ログのソースIPアドレスとして不明なホストと内部IPアドレスが表示されます。
- ログには、成功したイベントとまったく同じ時刻の障害イベントが表示されます。
- ログインに成功した場合はソースIPが返されますが、失敗した場合は「internal:audit」イベントが返されます。
監査ログ
00000003.0023595c 00abe53e Mon Jun 19 2023 14:39:57 +01:00 [kern_audit:info:4159] 0000000000000000 :: unknown:ssh :: internal:audit :: cluster001:admin :: Login Attempt :: Error: Unsuccessful attempts since last login :1.
00000003.0023595d 00abe53e Mon Jun 19 2023 14:39:57 +01:00 [kern_audit:info:4159] 8003e80000024be3:8003e80000024be4 :: lonprntcvop001:ssh :: 10.18.xx.xxx:xxxx :: cluster001:admin :: Logging in :: Success