12294错误事件的处理--利用审核日志查找病毒来源

最近公司的一台域服务器(windows server 2003域控制器)系统日志大量出现事件ID号为12294,来源为SAM的错误日志,错误信息描述如下:
-------------------------------------------
事件��e目�: �o
事件�R�e�a: 12294
日期:  2009/3/9
�r�g:  下午 02:08:29
使用者:  Administrator
��X: 
描述:
SAM �Y料��o法�i定��� Administrator,因�橘Y源�l生�e�`,例如硬碟��入失��(�Y料中包含 指定�e�`�a)。在您提供了�荡五e�`的密�a之後,����被�i定。�重新�O定上述��� 的密�a。
--------------------------------------------
 
        如上图所示,此错误会频繁出现,事件查看器里“全国山河一片红”。
 
        到微软支持网站查询了一下事件ID号,原来是网络中某一台电脑感染了W32.Randex.F 蠕虫病毒。从描述中可知administrator账号被意外锁定失败。
 
        现在只要查出网络中感染病毒的机器就可以了,按照以前的经验,马上运行sniffer监控网络的运行情况,但由于W32.Randex.F 蠕虫病毒发作时不建立大量连接,也不会在网络中大量发送数据包,只会在宿主机上不断地尝试以administrator账号在后台登录,而超过错误次数后活动目录会锁定此账号,造成意外锁定账号失败的错误发生。所以很难通过sniffer查出故障来源。
 
        但通过活动目录的账号登录机制:账号登录都必需到PDC去验证身份,必定会产生大量登录失败的记录。因此,我们可以监控账号的登录事件来查找病毒源。
 
         打开域控制器--“系统管理工具”--“域安全策略”--“本机原则”--“稽核原则”,如下图:
 
        由于审核失败的事件对于管理员排错比较有帮助,为了减少日志数据量,我们只设置只审核失败的登入事件。如下图:
 
 
       这样,我们再打开域控制器(PDC)的事件查看器,点击“安全性”,就可以看到大量的错误登录的审核失败事件,打开事件描述,我们就可以知道哪台电脑有问题了,如下图:
 
 
注:可能会有多台机器感染w32.Randex.f病毒,需要管理员不断的查看审核日志,跟进处理。

你可能感兴趣的:(职场,错误,休闲,12294错误,sam)