AD事件日志分析

错误-事件:12294

事件描述: 

由于资源错误,如硬磁盘写失败(该指定的错误代码在 错误数据中),SAM 数据库无法锁 定 Administrator 的帐户。密码输入次数达到一定值时,帐户及会被 锁定,请考虑重设上述帐户 的密码。

错误分析:

       事件日志中出现大量12294的错误提示,根据事件的描述,表明Administrator用户一直尝试网络登录,出现多次密码错误,记录此事件。一般出现12294事件日志,表面局域网内有密码攻击。

解决建议:

      根据微软官方提供的KB信息,源于W32.Randex.F 蠕虫病毒攻击,需更新病毒库,查杀病毒,详细请参考:http://support.microsoft.com/kb/887433/zh-cn

 

警告-事件:2089

事件描述:

AD事件日志分析

警告分析:

活动目录超过30天未进行备份将出现此警告。.

解决建议:

通过NTBACKUP备份活动目录,建议购买专业备份软件,制定备份策略,自动备份活动目录数据。

警告-事件:5807

事件描述:

AD事件日志分析

警告分析:

客户端计算机登录域时,IP地址没有出现在IP子网中,将出现此提示。.

解决建议:

到%SystemRoot%\debug\r etlogon.log中查看有哪些计算机的IP,这些IP是否在活动目录子网范围内,补全子网信息。

你可能感兴趣的:(日志分析)