Windows Server 2003 Active Directory 환경에서 사용자 계정이 빈번하게 Lockout (잠금) 현상이 발생한다면 어떻게 문제를 해결할 수 있을까요? 우선 계정 잠금이 발생하는 원인부터 찾아야 됩니다.
어떻게?
이벤트 보안 로그를 하나 하나 살펴보면 가능합니다. 하지만 일일이 수 많은 보안 로그를 뒤지면서 살펴보기 참 힘듭니다.
로그가 엄청 많다면...... 어휴.... 필터링 하기 참 귀찮으시죠?
EventCombMT 로 한 번에 끝내는 로그 분석 그 팁을 살짝 정리했습니다.
Account Lockout Tools!
어떻게?
이벤트 보안 로그를 하나 하나 살펴보면 가능합니다. 하지만 일일이 수 많은 보안 로그를 뒤지면서 살펴보기 참 힘듭니다.
로그가 엄청 많다면...... 어휴.... 필터링 하기 참 귀찮으시죠?
EventCombMT 로 한 번에 끝내는 로그 분석 그 팁을 살짝 정리했습니다.
Account Lockout Tools!
이름 그대로 Account Lockout 과 관련하여 정보를 수집할 수 있는 도구입니다. 아래 참고자료에 링크된 ALTOOLS.EXE 파일을 MS 웹사이트에서 다운로드 받으신 후 압축을 해제하면 아래와 같은 바이너리를 볼 수 있습니다.
이 중에서 지금 살펴볼 도구는 EventCombMT.exe 도구입니다. 이 녀석의 기능은 여러 컴퓨터의(예를 들어 DC 머신들) 이벤트 로그를 검색하여 계정 잠금 정보만을 텍스트 파일로 추출할 수 있습니다.
EventCombMT.exe 파일을 실행한 모습입니다. 설치가 필요하지 않습니다. 바이너리를 복사하여 사용하실 수 있습니다.
Account Lockouts 를 찾는 것이므로 메뉴 Searches - Built In Searches - Account Lockouts 메뉴를 클릭합니다.
잘 수행되었다면 아래와 같이 Event IDs 항목에 529, 644, 675, 676, 681 ID가 자동으로 등록됩니다.
다음 과정은 이벤트 로그를 검색할 대상 시간입니다. 아래 예제는 오후 2:10:10초에서 44초까지 34초간 발생한 로그인 실패를찾는다는 의미입니다. 메뉴 Options - Set Date Ranges 를 클릭하시면 됩니다.
이제 마지막 단계입니다. 검색한 결과를 Text File 로 저장할 경로를 선택하면 됩니다.
Options - Set Output Directory 를 선택하셔서 적절한 경로를 선택해 주시면 됩니다.
Options - Set Output Directory 를 선택하셔서 적절한 경로를 선택해 주시면 됩니다.
완료되었다면 'Search' 버튼을 가볍게 톡~ 클릭해 주시면 쉽게 로그를 추출할 수 있습니다. 추출이 완료된 후 TEXT 파일을 열어보면 아래와 같은 로그를 찾으실 수 있습니다.
675,AUDIT FAILURE,Security,Thu Apr 09 14:19:21 2009,NT AUTHORITY\SYSTEM,미리 인증 실패됨: 사용자 이름: laigo 사용자 ID: %{S-**-1103} 서비스 이름: krbtgt/LAIGO 인증 종류: 0x2 오류 코드: 0x18 클라이언트 주소: 192.168.0.3
c:\temp\LAIGODC-Security_LOG.txt contains 1 parsed events.
참~ 쉽죠잉~!?
Account Lockout Tools 에서 제공되는 다른 툴에 대해서는 다시 한 번 정리해 보겠습니다.
[참고자료]
계정 암호 및 정책
Account Lockout and Management Tools
Account Lockout Tools
Account Lockout Status (LockoutStatus.exe)
EventCombMT 유틸리티를 사용하여 이벤트 로그에서 계정 잠금을 검색하는 방법
작성자 : Lai Go / 작성일자 : 2009.04.09