Questa regola raccoglie gli eventi per il report Errori di autenticazione degli account dei computer Active Directory. Genera questi dati acquisendo gli eventi di Accesso rete dal registro di sistema con ID evento 5805.
Questa regola è disabilitata per impostazione predefinita perché può causare un eccessivo disturbo in ambienti di grandi dimensioni e ci sono molti motivi per cui l'autenticazione di un account computer può non riuscire. Eseguire l'override di tale avviso per iniziare l'acquisizione di questi eventi.
Per altre informazioni, vedere:
Target | Microsoft.Windows.Server.2012.AD.DomainControllerRole |
Category | EventCollection |
Enabled | False |
Event_ID | 5805 |
Event Source | NetLogon |
Alert Generate | False |
Remotable | True |
Event Log | System |
Comment | Mom2005ID='{2C6970E8-A83B-4329-9CD1-1081754CCC1D}';MOM2005GroupID= |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
CollectEventData | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
CollectEventDataWarehouse | WriteAction | Microsoft.SystemCenter.DataWarehouse.PublishEventData | Default |
<Rule ID="Report_Collection___Machine_Account_Authentication_Failures_5_Rule" Comment="Mom2005ID='{2C6970E8-A83B-4329-9CD1-1081754CCC1D}';MOM2005GroupID=" Enabled="false" Target="AD2012Core!Microsoft.Windows.Server.2012.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5805</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>NetLogon</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>
</WriteActions>
</Rule>