Question

Я пытаюсь получить журнал отключенных учетных записей пользователей из-за лишних попыток ввода пароля, а затем сопоставить попытки и конкретные учетные записи с IP-адресом, с которого они произошли.

Я могу получить список отключенных учетных записей пользователей в соответствии с инструкциями на SQL-запрос для отключенных учетных записей Active Directory , но я не уверен, как соотнести эти учетные записи с журналами IP-адресов.

Это на Redhat Directory Server.

Спасибо, Грег

JPBlanc · Answer 1 · 08 июня 2011

Если ваш каталог Active-Directory, вы можете связать его с журналом событий доменных серверов. Я привожу пример в другом ответе , он существует для событий: событие входа в систему «4624» и событие выхода из системы «4634», вы можете установить связь между событиями с помощью данных с именем TargetLogonId. IP-адрес находится в данных с именем IpAdress. «4740» означает, что учетная запись была заблокирована.

Проблема здесь в том, что вам нужно получить все журналы серверов домена.

Описание событий безопасности в Windows Vista и Windows Server 2008 может помочь вам

Перечислите отключенные учетные записи из-за чрезмерных попыток ввода пароля на Redhat Directory Server и сопоставьте их с IP-адресом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Перечислите отключенные учетные записи из-за чрезмерных попыток ввода пароля на Redhat Directory Server и сопоставьте их с IP-адресом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы