由于密码尝试次数过多,我正在尝试记录已停用的用户帐户,然后将尝试次数与特定帐户与其来源的IP地址关联起来。
我可以根据SQL Query for Disabled Active Directory Accounts的说明获取已停用用户帐户的列表,但不确定如何将这些帐户与IP日志相关联。
这是在Redhat Directory Server上。
谢谢, 格雷格
答案 0 :(得分:0)
如果您的目录是Active-Directory,则可以使用Domain Servers事件日志对其进行核心处理。我在other answer中给出了一个示例,它存在于事件中:登录事件“4624”和注销事件“4634”您可以通过名为TargetLogonId的数据在事件之间建立关系。 IP地址位于名为IpAdress的数据中。 “4740”表示帐户被锁定。
此处的问题是您需要获取所有域服务器日志。
Description of security events in Windows Vista and in Windows Server 2008可以帮助您