由于密码尝试过多,我正在尝试获取禁用用户帐户的日志,然后将尝试和特定帐户与它们源自的 IP 地址相关联。
我可以按照SQL Query for Disabled Active Directory Accounts 中的说明获取已禁用用户帐户的列表,但我不确定如何将这些帐户与 IP 日志相关联。
这是在 Redhat Directory Server 上。
谢谢,格雷格
问问题
257 次
1 回答
0
如果您的目录是 Active-Directory,您可以将其与 Domain Servers 事件日志相关联。我在另一个答案中举了一个例子,它存在于事件中:登录事件“4624”和注销事件“4634”您可以通过名为 TargetLogonId 的数据在事件之间建立关系。IP 地址位于名为 IpAdress 的数据中。“4740”表示账户被锁定。
这里的问题是您需要获取所有域服务器日志。
于 2011-06-08T07:59:23.950 回答