12294错误事件的处理--利用审核日志查找病毒来源
2009-03-10 11:15
459 查看
最近公司的一台域服务器(windows server 2003域控制器)系统日志大量出现事件ID号为12294,来源为SAM的错误日志,错误信息描述如下:
-------------------------------------------
事件類別目錄: 無
事件識別碼: 12294
日期: 2009/3/9
時間: 下午 02:08:29
使用者: Administrator
電腦:
描述:
SAM 資料庫無法鎖定帳戶 Administrator,因為資源發生錯誤,例如硬碟寫入失敗(資料中包含 指定錯誤碼)。在您提供了數次錯誤的密碼之後,帳戶會被鎖定。請重新設定上述帳戶 的密碼。
--------------------------------------------
如上图所示,此错误会频繁出现,事件查看器里“全国山河一片红”。
到微软支持网站查询了一下事件ID号,原来是网络中某一台电脑感染了W32.Randex.F 蠕虫病毒。从描述中可知administrator账号被意外锁定失败。
现在只要查出网络中感染病毒的机器就可以了,按照以前的经验,马上运行sniffer监控网络的运行情况,但由于W32.Randex.F 蠕虫病毒发作时不建立大量连接,也不会在网络中大量发送数据包,只会在宿主机上不断地尝试以administrator账号在后台登录,而超过错误次数后活动目录会锁定此账号,造成意外锁定账号失败的错误发生。所以很难通过sniffer查出故障来源。
但通过活动目录的账号登录机制:账号登录都必需到PDC去验证身份,必定会产生大量登录失败的记录。因此,我们可以监控账号的登录事件来查找病毒源。
打开域控制器--“系统管理工具”--“域安全策略”--“本机原则”--“稽核原则”,如下图:
由于审核失败的事件对于管理员排错比较有帮助,为了减少日志数据量,我们只设置只审核失败的登入事件。如下图:
这样,我们再打开域控制器(PDC)的事件查看器,点击“安全性”,就可以看到大量的错误登录的审核失败事件,打开事件描述,我们就可以知道哪台电脑有问题了,如下图:
注:可能会有多台机器感染w32.Randex.f病毒,需要管理员不断的查看审核日志,跟进处理。
-------------------------------------------
事件類別目錄: 無
事件識別碼: 12294
日期: 2009/3/9
時間: 下午 02:08:29
使用者: Administrator
電腦:
描述:
SAM 資料庫無法鎖定帳戶 Administrator,因為資源發生錯誤,例如硬碟寫入失敗(資料中包含 指定錯誤碼)。在您提供了數次錯誤的密碼之後,帳戶會被鎖定。請重新設定上述帳戶 的密碼。
--------------------------------------------
如上图所示,此错误会频繁出现,事件查看器里“全国山河一片红”。
到微软支持网站查询了一下事件ID号,原来是网络中某一台电脑感染了W32.Randex.F 蠕虫病毒。从描述中可知administrator账号被意外锁定失败。
现在只要查出网络中感染病毒的机器就可以了,按照以前的经验,马上运行sniffer监控网络的运行情况,但由于W32.Randex.F 蠕虫病毒发作时不建立大量连接,也不会在网络中大量发送数据包,只会在宿主机上不断地尝试以administrator账号在后台登录,而超过错误次数后活动目录会锁定此账号,造成意外锁定账号失败的错误发生。所以很难通过sniffer查出故障来源。
但通过活动目录的账号登录机制:账号登录都必需到PDC去验证身份,必定会产生大量登录失败的记录。因此,我们可以监控账号的登录事件来查找病毒源。
打开域控制器--“系统管理工具”--“域安全策略”--“本机原则”--“稽核原则”,如下图:
由于审核失败的事件对于管理员排错比较有帮助,为了减少日志数据量,我们只设置只审核失败的登入事件。如下图:
这样,我们再打开域控制器(PDC)的事件查看器,点击“安全性”,就可以看到大量的错误登录的审核失败事件,打开事件描述,我们就可以知道哪台电脑有问题了,如下图:
注:可能会有多台机器感染w32.Randex.f病毒,需要管理员不断的查看审核日志,跟进处理。
相关文章推荐
- 12294错误事件的处理--利用审核日志查找病毒来源
- 12294错误事件的处理--利用审核日志查找病毒来源
- 12294错误事件的处理--利用审核日志查找病毒来源
- SSIS之事务,错误输出,事件处理,日志记录
- SQL Server BI Step by Step SSIS 7 (End) --- 事务,错误输出,事件处理,日志记录
- SQL Server BI Step by step 5 事务,错误输出,事件处理,日志记录
- win2012应用程序日志,级别错误,来源PerfOS,事件ID2011
- logz.io一个企业级的ELK日志分析器 内部集成了机器学习识别威胁——核心:利用用户对于特定日志事件的反馈处理动作来学习判断日志威胁 + 类似语音识别的专家系统从各方收集日志威胁信息
- SQL Server BI Step by Step SSIS 7 (End) --- 事务,错误输出,事件处理,日志记录
- Asp.Net : 捕捉和记录网站中出现的所有未处理错误,抛出详细的页面来源和访问ip,调用的接口方法及异常实例(记事本日志,系统日志及数据库日志)
- SQL Server BI Step by Step SSIS 7 (End) --- 事务,错误输出,事件处理,日志记录
- “windows不能在本地计算机启动Apache Tomcat. 有关更多信息,查阅系统事件日志。如果这是非Microsoft服务,请与服务厂商联系,并参考特定服务错误代码0.”
- 米老师如果处理邮件地址错误事件
- (日志空间满了):ORA-00257: archiver error. Connect internal only, until freed 错误的处理方法
- ASP.NET全局错误处理和异常日志记录以及IIS配置自定义错误页面
- Windows2003事件日志中出现错误代…
- [专家会诊]博客园服务器事件日志中的两个错误
- Web安全开发指南--异常错误处理与日志审计
- 强大的跨平台事件日志审核管理工具 - SNARE
- 利用java concurrent 包实现日志写数据库的并发处理