列出已禁用的帐户由于尝试在Redhat Directory Server上使用过多的密码并与IP地址相关

Question

由于过多的密码尝试，我试图获取禁用的用户帐户的日志，然后将尝试和特定帐户与IP地址相关联来源于。

我可以按照SQL Query for Disabled Active Directory Accounts上的说明获取已禁用的用户帐户列表，但我不确定如何将这些帐户与IP日志相关联。

这是在Redhat Directory Server上。

感谢， 格雷格

Answer 1

如果你的目录是活动目录，你可以用域服务器的事件日志corelate它。我举了一个other answer的例子，它存在于事件中：登录事件“4624”和注销事件“4634”，你可以通过名为TargetLogonId的数据在事件之间建立关系。 IP地址位于名为IpAdress的数据中。 “4740”表示帐户被锁定。

这里的问题是您需要获取所有域服务器日志。

Description of security events in Windows Vista and in Windows Server 2008可以帮到你