iT邦幫忙

0

分析帳號鎖定Log

ad帳號
stefan47262 2023-03-14 15:06:14771 瀏覽

  • 分享至 

  • xImage

目前公司AD上會有try帳號的紀錄
有參考這個文章
https://blog.miniasp.com/post/2010/12/07/How-to-analysis-AD-Account-Lockout-problem

https://ithelp.ithome.com.tw/upload/images/20230314/20156372aPwAQeJiSK.jpg!https://ithelp.ithome.com.tw/upload/images/20230314/20156372yQkTfAsR5D.jpghttps://ithelp.ithome.com.tw/upload/images/20230314/20156372PmNXs6SuWm.jpg
https://ithelp.ithome.com.tw/upload/images/20230314/20156372nGgBPwgnsl.jpg
但因為沒有IP資訊,電腦名稱也會改變,想請問是否有其他方式可以分析好找出來源?
例如Log是否可以顯示出IP?
目前AD Server是2008 R2

謝謝回覆
在請問因為Firewall DHCP上都沒有這些電腦名稱所以查不到IP
使用eventcombMT.exe 分析出來也沒有IP資訊,如下圖
https://ithelp.ithome.com.tw/upload/images/20230319/201563727u6qDTkyEM.jpg
如果是我自己測試的Key錯帳號密碼會有紀錄也會有ip
可是下面的訊息只有他Try的時間、帳號跟電腦名稱,因為他電腦名稱會改變,沒有IP資料
請問這會有其他方式可以查嗎 有嘗試過用Ping、nslookup、nbtstat指令
感謝

看更多先前的討論...收起先前的討論...
aaron3399 iT邦好手 1 級 ‧ 2023-03-14 15:11:01 檢舉
從DHCP server對照IP list阿
阿摔 iT邦新手 3 級 ‧ 2023-03-14 15:18:36 檢舉
抱歉 沒看到連結內容
我記得nltest 可以看是哪台DC 再到那台DC去看netlogon log會有名稱或IP
setsuna iT邦新手 2 級 ‧ 2023-03-15 02:19:34 檢舉
eventcombMT.exe
stefan47262 iT邦新手 5 級 ‧ 2023-03-19 08:58:10 檢舉
1.DHCP Server 沒有這些裝置的名稱 ,因為他會改變 所以應該是偽照的..
2.目前我在netlogon log上都查不到IP,只有名稱
3.eventcombMT.exe 請問我用這個查出來還是只有電腦名稱沒有IP該怎麼做
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答
iThome鐵人賽
參賽組數
1048
團體組數
40
累計文章數
14536
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 16th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react 資訊安全
熱門問題
熱門回答
熱門文章
IT邦幫忙