Comment détecter les tentatives de connexion échouées à VMware®

Netwrix Auditor for VMware

Exécutez Netwrix Auditor → Cliquez sur Reports→ Choisissez VMware→ Choisissez All ESXi and vCenter Logon Activity→ Cliquez sur View.

En savoir plus sur Netwrix Auditor for VMware

Solution native

Pour lister toutes les tentatives de connexion échouées

• Dans le client VMware® vSphere®, lors de la connexion au VMware® vCenter Server®, cliquez sur Events dans la section Gestion.
• Dans le champ Description, Type or Target contains, tapez

      cannot login
      

Une liste des tentatives de connexion échouées récentes sera affichée avec les détails suivants :

• Le champ Description répertorie le nom d'utilisateur et l'adresse IP à partir desquels la tentative de connexion a été effectuée.
• Si la tentative de connexion échouée a été effectuée sur un hôte VMware® ESX®/VMware® ESXi™, le champ Cible indique le nom d'hôte ou l'adresse IP de l'ESX/ESXi. Le champ Cible sera vide si la tentative de connexion échouée concernait le vCenter Server.

Pour rapporter les événements sur une plage de dates spécifique

Note: Cette méthode ne fait pas la distinction entre les échecs de connexion aux hôtes ESX/ESXi et les échecs de connexion au vCenter Server.

• Dans le client vSphere, lors de la connexion au vCenter Server, cliquez sur File > Export > Export Events.
• Entrez un nom de fichier et un emplacement.
• Désélectionnez les options Warning et Information Severity.
• Sélectionnez une plage de date/heure.
• Cliquez sur OK.
  Remarque : Ce processus peut prendre du temps dans de grands environnements. Un indicateur de progression est affiché en bas de l'écran Exporter les événements.
• Ouvrez le fichier résultant dans un éditeur de texte et recherchez cannot login pour trouver les tentatives de connexion échouées.

Utilisation de VMware® Power CLI

Ce script d'exemple génère une liste des échecs de connexion aux hôtes ESX/ESXi gérés par vCenter Server entre le 10/11/2019 et le 13/11/2019 :

      connect-viserver -server vCenter Server hostname

$hostevents = Get-VIEvent -start 10/11/2019 -finish 13/11/2019 -maxsamples 100000 | where-object {$_.Host.Name -notlike ""}

foreach ($event in $hostevents) {if ($event.fullFormattedMessage -match "Cannot login (.*)@(.*)") {Write-Host ("User " + $matches[1] + " failed to login to " + $event.Host.Name + " from " + $matches[2] + " at: " + $event.createdTime)} }
      

Exemple de sortie :

      User root failed to login vm01.enterprise.com from 192.168.1.66 at: 12/11/2019 15:51:25
User jmclaren failed to login vm01.enterprise.com from 192.168.1.66 at: 12/11/2019 17:02:51
      

Notez que :

• Dans les grands environnements, le traitement peut prendre un certain temps.
• Si vous soupçonnez que tous les résultats ne sont pas retournés, réglez le paramètre -maxsamples sur une valeur plus élevée.
• Les événements disponibles dépendent de votre politique de rétention. Si votre politique de rétention est définie pour 10 jours, les données concernant les échecs de connexion d'il y a 20 jours ne seront pas disponibles.
• Vous devez disposer des autorisations suffisantes pour exporter les événements.