" title="云计算大数据


0

AD账号锁定查找锁定来源方法

编辑:IT助理/ 栏目:Microsoft Windows /发布于:2019年-1月-2日

为了按用户名在 Windows 事件日志中搜索登录,需要使用 Windows Server 以下步骤将允许您按用户名在 Windows 事件日志中搜索登录信息。

1、打开事件查看器并选择安全日志。
2、在操作窗格中选择过滤当前日志。
3、选择 XML 选项卡
4、选择“手动编辑查询”
5、将默认的select语句替换成如下select语句,

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">* [EventData[Data[@Name='Username']='tangjunyi']]</Select>
</Query>
</QueryList>

6. 将 Username 字段更改为在活动目录中为要搜索安全事件的用户。
7. 结果现在显示您的自定义安全日志 XML 搜索。
8. 不要忘记在运行搜索后恢复更改 


还可以在查询中使用多个 select 语句来提取同一日志中的不同数据或另一个日志中的数据。 您可以指定从 <select> 标签内部提取哪个日志,并且在同一个 <query> 标签中有多个 <select> 标签。

下面的示例将从安全事件日志中提取事件ID为4740的事件,从应用程序事件日志中提取事件ID为1704的事件。
      <QueryList>
<Query Id="0">
<Select Path="Security">*[System[(EventID='4740')]]</Select>
<Select Path="Application">*[System[(EventID='1704')]]</Select>
</Query>
      </QueryList>


假设我们只对涉及这些用户中的任何一个的特定事件 ID 感兴趣。 我们可以合并一个 AND 布尔值来过滤系统数据。

下面的查询为用户 test5 或 test9 查找安全事件ID为4740的事件。

      <QueryList>
<Query Id="0">
<Select Path="Security">
*[EventData[Data[@Name='SubjectUserName'] and (Data='test5' or Data='test9')]]
and
*[System[(EventID='4740')]]
</Select>
</Query>
    </QueryList>




也可以检索Event ID为 4663 的日志记录,进行筛选。具体参考微软官方
https://docs.microsoft.com/zh-cn/archive/blogs/askds/advanced-xml-filtering-in-the-windows-event-viewer

Keberos错误代码表

0x0        KDC_ERR_NONE        正常
0x1        KDC_ERR_NAME_EXP        客户在KDC数据库中的条目具有(ERROR_ACCOUNT_EXPIRED)
0x2        KDC_ERR_SERVICE_EXP        KDC数据库中的服务器条目已过期(ERROR_ACCOUNT_EXPIRED)
0x3        KDC_ERR_BAD_PVNO        请求的Kerberos版本号不受支持
0x4        KDC_ERR_C_OLD_MAST_KVNO        客户的密钥在旧的主密钥中加密
0x5        KDC_ERR_S_OLD_MAST_KVNO        服务器的密钥在旧的主密钥中加密
0x6        KDC_ERR_C_PRINCIPAL_UNKNOWN        在Kerberos数据库中找不到客户端
0x7        KDC_ERR_S_PRINCIPAL_UNKNOWN        在Kerberos数据库中找不到服务器
0x8        KDC_ERR_PRINCIPAL_NOT_UNIQUE        KDC数据库中的多个主体条目
0x9        KDC_ERR_NULL_KEY        客户端或服务器具有空键(主键)
0xA        KDC_ERR_CANNOT_POSTDATE        机票(TGT)不符合过期要求
0xB        KDC_ERR_NEVER_VALID        请求的开始时间晚于结束时间
0xC        KDC_ERR_POLICY        请求的开始时间晚于结束时间
0xD        KDC_ERR_BADOPTION        KDC无法容纳请求的选项
0xE        KDC_ERR_ETYPE_NOTSUPP        KDC不支持加密类型
0xF        KDC_ERR_SUMTYPE_NOSUPP        KDC不支持校验和类型
0x10        KDC_ERR_PADATA_TYPE_NOSUPP        KDC不支持PADATA类型(Kerberos预身份验证数据)
0x11        KDC_ERR_TRTYPE_NO_SUPP        KDC不支持过渡类型
0x12        KDC_ERR_CLIENT_REVOKED        客户的凭证已被吊销
0x13        KDC_ERR_SERVICE_REVOKED        服务器的凭据已被吊销
0x14        KDC_ERR_TGT_REVOKED        TGT已被撤销
0x15        KDC_ERR_CLIENT_NOTYET        客户尚未生效-请稍后再试
0x16        KDC_ERR_SERVICE_NOTYET        服务器尚未生效-请稍后再试
0x17        KDC_ERR_KEY_EXPIRED        密码已过期-更改密码以重设(密码已过期)
0x18        KDC_ERR_PREAUTH_FAILED        Kerberos预身份验证信息无效
0x19        KDC_ERR_PREAUTH_REQUIRED        附加的Kerberos预认证所需
0x1A        KDC_ERR_SERVER_NOMATCH        KDC不知道请求的服务器
0x1B        KDC_ERR_SVC_UNAVAILABLE        KDC不可用
0x1F        KRB_AP_ERR_BAD_INTEGRITY        解密字段的完整性检查失败
0x20        KRB_AP_ERR_TKT_EXPIRED        票已过期
0x21        KRB_AP_ERR_TKT_NYV        票证尚未生效
0x22        KRB_AP_ERR_REPEAT        请求是重播
0x23        KRB_AP_ERR_NOT_US        门票不适合我们
0x24        KRB_AP_ERR_BADMATCH        票证和验证码不匹配
0x25        KRB_AP_ERR_SKEW        该时钟偏差过大
0x26        KRB_AP_ERR_BADADDR        网络层标头中的网络地址与票证中的地址不匹配
0x27        KRB_AP_ERR_BADVERSION        协议版本号不匹配(PVNO)
0x28        KRB_AP_ERR_MSG_TYPE        邮件类型不受支持
0x29        KRB_AP_ERR_MODIFIED        消息流已修改且校验和不匹配
0x2A        KRB_AP_ERR_BADORDER        消息混乱(可能会被篡改)
0x2C        KRB_AP_ERR_BADKEYVER        指定的密钥版本不可用
0x2D        KRB_AP_ERR_NOKEY        服务密钥不可用
0x2E        KRB_AP_ERR_MUT_FAIL        相互认证失败
0x2F        KRB_AP_ERR_BADDIRECTION        错误的消息方向
0x30        KRB_AP_ERR_METHOD        需要替代的身份验证方法(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x31        KRB_AP_ERR_BADSEQ        消息中的序列号不正确
0x32        KRB_AP_ERR_INAPP_CKSUM        消息中校验和的类型不正确(校验和可能不受支持)
0x33        KRB_AP_PATH_NOT_ACCEPTED        所需路径无法到达
0x34        KRB_ERR_RESPONSE_TOO_BIG        资料过多
0x3C        KRB_ERR_GENERIC        通用错误;说明在电子数据字段中
0x3D        KRB_ERR_FIELD_TOOLONG        此执行的字段太长
0x3E        KDC_ERR_CLIENT_NOT_TRUSTED        客户端信任失败或未实现
0x3F        KDC_ERR_KDC_NOT_TRUSTED        在KDC服务器的信任失败或无法核实
0x40        KDC_ERR_INVALID_SIG        该签名是无效
0x41        KDC_ERR_KEY_TOO_WEAK        需要更高的加密级别(通常与LDAP_STRONG_AUTH_REQUIRED相同)
0x42        KRB_AP_ERR_USER_TO_USER_REQUIRED        用户到用户的授权需要
0x43        KRB_AP_ERR_NO_TGT        没有显示或没有TGT
0x44        KDC_ERR_WRONG_REALM        域或主体不正确(Kerberos领域)

本文由“云计算大数据 > IT助理”整理编辑。


未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。

如果喜欢这篇文章,欢迎订阅云计算大数据以获得最新内容。

已经有 0 条群众意见