Cómo detectar intentos fallidos de inicio de sesión en VMware®

Netwrix Auditor for VMware

Ejecute Netwrix Auditor → Haga clic en Reports→ Seleccione VMware→ Seleccione All ESXi and vCenter Logon Activity→ Haga clic en View.

Obtén más información sobre

Solución nativa

Para listar todos los intentos fallidos de inicio de sesión

• En el cliente de VMware® vSphere®, mientras está conectado a VMware® vCenter Server®, haga clic en Events en la sección de Gestión.
• En el campo Description, Type or Target contains, escriba

      cannot login
      

Se mostrará una lista de intentos de inicio de sesión fallidos recientes con los siguientes detalles:

• El campo Descripción enumera el nombre de usuario y la dirección IP desde la cual se intentó la conexión.
• Si el intento fallido de inicio de sesión se realizó en un host VMware® ESX®/VMware® ESXi™, el campo Target mostrará el nombre de host o la dirección IP de ESX/ESXi. El campo Target estará en blanco si el intento fallido de inicio de sesión fue al vCenter Server.

Para informar sobre eventos dentro de un rango de fechas específico

Nota: Este método no distingue entre los inicios de sesión fallidos en los hosts ESX/ESXi y los inicios de sesión fallidos en el vCenter Server.

• En el cliente de vSphere, mientras está conectado a vCenter Server, haga clic en File > Export > Export Events.
• Introduzca un nombre de archivo y ubicación.
• Deseleccione las opciones de Warning e Information Severity.
• Seleccione un rango de fecha/hora.
• Haga clic en OK.
  Nota: Este proceso puede tardar un tiempo en entornos grandes. Un indicador de progreso se muestra en la parte inferior de la pantalla de Exportar Eventos.
• Abra el archivo resultante en un editor de texto y busque cannot login para encontrar intentos fallidos de inicio de sesión.

Usando VMware® Power CLI

Este script de ejemplo genera una lista de inicios de sesión fallidos en hosts ESX/ESXi gestionados por vCenter Server entre el 10/11/2019 y el 13/11/2019:

      connect-viserver -server vCenter Server hostname

$hostevents = Get-VIEvent -start 10/11/2019 -finish 13/11/2019 -maxsamples 100000 | where-object {$_.Host.Name -notlike ""}

foreach ($event in $hostevents) {if ($event.fullFormattedMessage -match "Cannot login (.*)@(.*)") {Write-Host ("User " + $matches[1] + " failed to login to " + $event.Host.Name + " from " + $matches[2] + " at: " + $event.createdTime)} }
      

Ejemplo de salida:

      User root failed to login vm01.enterprise.com from 192.168.1.66 at: 12/11/2019 15:51:25
User jmclaren failed to login vm01.enterprise.com from 192.168.1.66 at: 12/11/2019 17:02:51
      

Tenga en cuenta que:

• En entornos grandes, el procesamiento puede llevar algo de tiempo.
• If you suspect that not all results are being returned, set the -maxsamples parameter higher.
• Los eventos disponibles dependen de su política de retención. Si su política de retención está configurada para 10 días, los datos sobre intentos fallidos de inicio de sesión de hace 20 días no estarán disponibles.
• Necesitas tener permisos suficientes para exportar los eventos.