Windows Server 2003 Active Directory 환경에서 사용자 계정이 빈번하게 Lockout (잠금) 현상이 발생한다면 어떻게 문제를 해결할 수 있을까요? 우선 계정 잠금이 발생하는 원인부터 찾아야 됩니다.
어떻게?
이벤트 보안 로그를 하나 하나 살펴보면 가능합니다. 하지만 일일이 수 많은 보안 로그를 뒤지면서 살펴보기 참 힘듭니다.
로그가 엄청 많다면...... 어휴.... 필터링 하기 참 귀찮으시죠?
EventCombMT 로 한 번에 끝내는 로그 분석 그 팁을 살짝 정리했습니다.
Account Lockout Tools!
어떻게?
이벤트 보안 로그를 하나 하나 살펴보면 가능합니다. 하지만 일일이 수 많은 보안 로그를 뒤지면서 살펴보기 참 힘듭니다.
로그가 엄청 많다면...... 어휴.... 필터링 하기 참 귀찮으시죠?
EventCombMT 로 한 번에 끝내는 로그 분석 그 팁을 살짝 정리했습니다.
Account Lockout Tools!
이름 그대로 Account Lockout 과 관련하여 정보를 수집할 수 있는 도구입니다. 아래 참고자료에 링크된 ALTOOLS.EXE 파일을 MS 웹사이트에서 다운로드 받으신 후 압축을 해제하면 아래와 같은 바이너리를 볼 수 있습니다.
이 중에서 지금 살펴볼 도구는 EventCombMT.exe 도구입니다. 이 녀석의 기능은 여러 컴퓨터의(예를 들어 DC 머신들) 이벤트 로그를 검색하여 계정 잠금 정보만을 텍스트 파일로 추출할 수 있습니다.
EventCombMT.exe 파일을 실행한 모습입니다. 설치가 필요하지 않습니다. 바이너리를 복사하여 사용하실 수 있습니다.
Account Lockouts 를 찾는 것이므로 메뉴 Searches - Built In Searches - Account Lockouts 메뉴를 클릭합니다.
잘 수행되었다면 아래와 같이 Event IDs 항목에 529, 644, 675, 676, 681 ID가 자동으로 등록됩니다.
다음 과정은 이벤트 로그를 검색할 대상 시간입니다. 아래 예제는 오후 2:10:10초에서 44초까지 34초간 발생한 로그인 실패를찾는다는 의미입니다. 메뉴 Options - Set Date Ranges 를 클릭하시면 됩니다.
이제 마지막 단계입니다. 검색한 결과를 Text File 로 저장할 경로를 선택하면 됩니다.
Options - Set Output Directory 를 선택하셔서 적절한 경로를 선택해 주시면 됩니다.
Options - Set Output Directory 를 선택하셔서 적절한 경로를 선택해 주시면 됩니다.
완료되었다면 'Search' 버튼을 가볍게 톡~ 클릭해 주시면 쉽게 로그를 추출할 수 있습니다. 추출이 완료된 후 TEXT 파일을 열어보면 아래와 같은 로그를 찾으실 수 있습니다.
675,AUDIT FAILURE,Security,Thu Apr 09 14:19:21 2009,NT AUTHORITY\SYSTEM,미리 인증 실패됨: 사용자 이름: laigo 사용자 ID: %{S-**-1103} 서비스 이름: krbtgt/LAIGO 인증 종류: 0x2 오류 코드: 0x18 클라이언트 주소: 192.168.0.3
c:\temp\LAIGODC-Security_LOG.txt contains 1 parsed events.
참~ 쉽죠잉~!?
Account Lockout Tools 에서 제공되는 다른 툴에 대해서는 다시 한 번 정리해 보겠습니다.
[참고자료]
계정 암호 및 정책
Account Lockout and Management Tools
Account Lockout Tools
Account Lockout Status (LockoutStatus.exe)
EventCombMT 유틸리티를 사용하여 이벤트 로그에서 계정 잠금을 검색하는 방법
작성자 : Lai Go / 작성일자 : 2009.04.09
댓글을 달아 주세요
참~ 쉽죠잉~!?
2009.04.10 12:46 [ ADDR : EDIT/ DEL : REPLY ]흠... 뭔내용인지....ㅋㅋ
잠금현상....보안 기사 실기에 나오는 내용..>_<;;
그래서그런지 이글만 눈에 띄고..다른건 안보인다는거...
ㅋㅋㅋ
점심 맛나게 드삼....
서민들은 어쩔 수 없는 거...
2009.04.10 13:07 신고 [ ADDR : EDIT/ DEL ]라고야 이거 티스토리 맞지?
2009.04.10 14:41 [ ADDR : EDIT/ DEL : REPLY ]그래, 맞어
2009.04.10 14:47 신고 [ ADDR : EDIT/ DEL ]아님말고.
2009.04.10 14:41 [ ADDR : EDIT/ DEL : REPLY ]What do you want to do?
2009.04.10 14:48 신고 [ ADDR : EDIT/ DEL ]누구보고 서민이래요?ㅋ
2009.04.10 16:24 [ ADDR : EDIT/ DEL : REPLY ]나처럼생긴 서민 봤어요?? >_<;
블로그에 사진 올려놓고 공개 투표할까?
2009.04.10 16:46 신고 [ ADDR : EDIT/ DEL ]이벤트쿰도 쓰고... 이제 진급할때가 됐는걸?
2009.04.11 11:12 [ ADDR : EDIT/ DEL : REPLY ]ㅋㅋㅋ
2009.04.11 12:40 신고 [ ADDR : EDIT/ DEL ]흠... 공개 투표..해볼만한뒈요? ㅋㅋㅋㅋㅋ
2009.04.11 22:38 [ ADDR : EDIT/ DEL : REPLY ]절대 후회하기 없기
2009.04.12 00:15 신고 [ ADDR : EDIT/ DEL ]서민들이 후회란걸 하더군요 ㅋㅋㅋㅋ
2009.04.13 10:56 [ ADDR : EDIT/ DEL : REPLY ]췟...
2009.04.13 11:41 신고 [ ADDR : EDIT/ DEL ]이렇게해서... 히지 승~γ ^-^
2009.04.13 18:53 [ ADDR : EDIT/ DEL : REPLY ]축하...
2009.04.13 20:13 신고 [ ADDR : EDIT/ DEL ]