사용자가 잠긴 계정으로 네트워크에 로그인하려고 했습니다. Windows 보안 로그의 MSSQLSERVER 이벤트 ID 18486에 사용자 이름이 명시됩니다.
사용자가 잠긴 계정으로 네트워크에 로그인하려고 했습니다. Windows 보안 로그의 MSSQLSERVER 이벤트 ID 18486에 사용자 이름이 명시됩니다.
계정이 잠겨 있어서 사용자 유효성을 검사하지 못했습니다. 관리자가 계정을 잠갔거나 정책 위반 시 프로그래밍에 따라 계정이 잠겼을 수 있습니다. 예를 들어 사용자가 연속해서 여러 번 네트워크에 로그인하려고 할 경우 Windows에서는 이 사용자가 로그온할 수 없도록 계정을 자동으로 잠글 수 있습니다. 이러한 방식은 무작위 공격으로부터 보호하기 위해 고안되었습니다.
잠겨 있는 계정을 관리하는 사용자에게 문의하십시오. 사용자들이 네트워크에 합법적인 방식으로 액세스하려고 할 경우에는 보안 관리자에게 계정의 잠금을 해제하도록 요청하십시오.
사용자가 Windows 보안 로그에 지정된 기간 동안 로그인을 시도하지 않은 경우 보안 공격의 가능성을 의심하십시오.
이름 | 설명 | 기본값 |
사용 | 워크플로를 사용하거나 사용하지 않도록 설정합니다. | 예 |
우선 순위 | 알림 우선 순위를 정의합니다. | 1 |
심각도 | 알림 심각도를 정의합니다. | 1 |
Target | Microsoft.SQLServer.2014.DBEngine | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 18486 | ||
Event Source | $Target/Property[Type="SQL2014Core!Microsoft.SQLServer.2014.DBEngine"]/ServiceName$ | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application | ||
Comment | Mom2014ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2014GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74} |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
_F6DA1507_12AF_11D3_AB21_00A0C98620CE_ | DataSource | Microsoft.Windows.EventProvider | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.SQLServer.2014.Login_failed__Account_locked_out_5_Rule" Target="SQL2014Core!Microsoft.SQLServer.2014.DBEngine" Enabled="true" ConfirmDelivery="true" Remotable="true" Comment="Mom2014ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2014GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="_F6DA1507_12AF_11D3_AB21_00A0C98620CE_" Comment="{F6DA1507-12AF-11D3-AB21-00A0C98620CE}" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>$Target/Property[Type="SQL2014Core!Microsoft.SQLServer.2014.DBEngine"]/ServiceName$</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>18486</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.SQLServer.2014.Login_failed__Account_locked_out_5_Rule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>Event ID: $Data/EventDisplayNumber$. $Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>