로그인 실패: 계정이 잠겼습니다.

Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule (Rule)

Knowledge Base article:

요약

사용자가 잠긴 계정으로 네트워크에 로그인하려고 했습니다. Windows 보안 로그의 MSSQLSERVER 이벤트 ID 18486에 사용자 이름이 명시됩니다.

원인

계정이 잠겨 있어서 사용자 유효성을 검사하지 못했습니다. 관리자가 계정을 잠갔거나 정책 위반 시 프로그래밍에 따라 계정이 잠겼을 수 있습니다. 예를 들어 사용자가 연속해서 여러 번 네트워크에 로그인하려고 할 경우 Windows에서는 이 사용자가 로그온할 수 없도록 계정을 자동으로 잠글 수 있습니다. 이러한 방식은 무작위 공격으로부터 보호하기 위해 고안되었습니다.

해결 방법

잠겨 있는 계정을 관리하는 사용자에게 문의하세요. 사용자들이 네트워크에 합법적인 방식으로 액세스하려고 할 경우에는 보안 관리자에게 계정의 잠금을 해제해 달라고 요청하세요.

사용자가 Windows 보안 로그에 지정된 기간 동안 로그인을 시도하지 않은 경우 보안 공격의 가능성을 의심하십시오.

재정의 가능한 매개 변수

이름	설명	기본값
사용	워크플로를 사용하거나 사용하지 않도록 설정합니다.	예
우선 순위	알림 우선 순위를 정의합니다.	1
심각도	알림 심각도를 정의합니다.	1

Element properties:

Target

Microsoft.SQLServer.2008.DBEngine

Category

EventCollection

Enabled

True

Event_ID

18486

Event Source

$Target/Property[Type="SQL!Microsoft.SQLServer.DBEngine"]/ServiceName$

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Remotable

True

Alert Message

로그인 실패: 계정이 잠겼습니다.

{0}

Event Log

Application

Comment

Mom2008ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2008GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}

Member Modules:

ID	Module Type	TypeId	RunAs
_F6DA1507_12AF_11D3_AB21_00A0C98620CE_	DataSource	Microsoft.Windows.EventProvider	Microsoft.SQLServer.SQLDefaultAccount
GenerateAlert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule" Target="SQL2008Core!Microsoft.SQLServer.2008.DBEngine" Enabled="true" ConfirmDelivery="true" Remotable="true" Comment="Mom2008ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2008GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="_F6DA1507_12AF_11D3_AB21_00A0C98620CE_" Comment="{F6DA1507-12AF-11D3-AB21-00A0C98620CE}" TypeID="Windows!Microsoft.Windows.EventProvider" RunAs="SQL!Microsoft.SQLServer.SQLDefaultAccount">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>$Target/Property[Type="SQL!Microsoft.SQLServer.DBEngine"]/ServiceName$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18486</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>Event ID: $Data/EventDisplayNumber$. $Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>