- PR -

ロックアウトイベントログの見方

1
投稿者投稿内容
未記入
会議室デビュー日: 2005/03/15
投稿数: 3
投稿日時: 2005-03-15 22:19
初めて質問させていただきます。

イベントログに出る、イベントID:644の
ロックアウト成功のイベントですが、
詳細に、

対象アカウント名
対象カウントID
呼び出し側コンピュータ名
呼び出し側ユーザ名
呼び出し側ドメイン
呼び出し側ログオンID

とありますが、
対象アカウント名、対象アカウントIDは
ロックアウトになったアカウントですよね。
それで、以下の呼び出し側○○○は、
ロックアウトの原因となったマシンなどが記述されるのでしょうか?

例えば、

呼び出し側コンピュータ名:MachineA
呼び出し側ユーザ名:<ドメインコントローラ>$
呼び出し側ドメイン:<ドメイン名>

というのは、
MachineAでロックアウトとなるようなログオン失敗を
繰り返したということを表しているのでしょうか?

環境は、Windows Server 2003でADを構築しています。

NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-03-16 16:17
今日は。

検索したんですが、これといった物が無いので。
どこかのパソコンから実験してみてはどうでしょう? 
_________________
Inspired Ambitious
ISMS Assistant Auditor
未記入
会議室デビュー日: 2005/03/15
投稿数: 3
投稿日時: 2005-03-18 14:11
NAO さん
レスありがとうございます。

実験したわけではないのですが、
ログを元に調べたらどうやら、その通りだったぽいです。

結局は、ウィルスがはいってて、ブルートフォースされていたので
イベントログにあがっている呼び出し側コンピュータには、
すべてウィルスがはいってました。
NAVも反応せず、手動で駆逐してまわりました。
1

スキルアップ/キャリアアップ(JOB@IT)