列出因 Redhat Directory Server 上的过多密码尝试而禁用的帐户并与 IP 地址关联

Question

我试图获取由于过多的密码尝试而被禁用的用户帐户的日志，然后将尝试和特定帐户与它们源自的 IP 地址相关联。

我可以按照 SQL 查询禁用的 Active Directory 中的说明获取禁用的用户帐户列表帐户，但不确定如何将这些帐户与 IP 日志关联起来。

这是在 Redhat Directory Server 上。

谢谢， 格雷格

Answer 1

如果您的目录是 Active-Directory，您可以将其与域服务器事件日志相关联。我在其他答案中给出了一个例子，它存在于events ：登录事件“4624”和注销事件“4634”您可以通过名为 TargetLogonId 的数据在事件之间建立关系。 IP 地址位于名为 IpAdress 的数据中。 “4740”表示帐户被锁定。

这里的问题是您需要获取所有域服务器日志。

Windows Vista 和 Windows Server 2008 中的安全事件说明可以为您提供帮助