列出已禁用的帳戶由於嘗試在Redhat Directory Server上使用過多的密碼並與IP地址相關

Question

由於過多的密碼嘗試，我試圖獲取禁用的用戶帳戶的日誌，然後將嘗試和特定帳戶與IP地址相關聯來源於。

我可以按照SQL Query for Disabled Active Directory Accounts上的說明獲取已禁用的用戶帳戶列表，但我不確定如何將這些帳戶與IP日誌相關聯。

這是在Redhat Directory Server上。

感謝， 格雷格

Answer 1

如果你的目錄是活動目錄，你可以用域服務器的事件日誌corelate它。我舉了一個other answer的例子，它存在於事件中：登錄事件「4624」和註銷事件「4634」，你可以通過名爲TargetLogonId的數據在事件之間建立關係。 IP地址位於名爲IpAdress的數據中。 「4740」表示帳戶被鎖定。

這裏的問題是您需要獲取所有域服務器日誌。

Description of security events in Windows Vista and in Windows Server 2008可以幫到你