jueves, 7 de enero de 2010

Averiguar IP donde se desactiva un usuario

A veces vemos el mensaje CPF1393 en el log del sistema:
Esto nos indica que el sistema ha desactivado un perfil de usuario, habitualmente por contraseña errónea.
Si vemos que se repite mucho este mensaje, para el mismo usuario, podemos intentar averiguar desde que dirección IP se está intentando conectar. Para ello hemos de ejecutar el mandato DSPJRN y visualizar las entradas del diario de auditoria del sistema, procurando ajustar al máximo el día y hora ya que acostumbran haber cientos de entradas en el mismo segundo:

DSPJRN JRN(QAUDJRN) RCVRNG(*CURCHAIN) FROMTIME(250509 165607) JRNCDE((T)) ENTTYP(PW)

Al pulsar Intro obtendremos una lista parecida a esta:

Pulsar la opción "5=Display entire entry" para ver el contenido de la entrada:

Ahí veremos que perfil de usuario esta fallando el login; si pulsamos "F10=Display only entry details" podremos ver el nombre de trabajo, la hora, y si pulsamos AvPag. podremos ver la dirección IP: 

Lo único que habra que tener en cuenta es que, si usamos DHCP en los clientes, puede que esa dirección sea reutilizada por otros usuarios.


Nota: Las desactivaciones de los usuarios del servicio NetServer aparecen con el codigo de diario 'VP', pero en la entrada no se ve la dirección ip. La podemos ver directamente con DSPLOG MSGID(CPIB682), acotando las fechas, o utilizando *BEGIN en la fecha inicial.
Publicar un comentario en la entrada