Home
  •  

보고서 수집 - 컴퓨터 계정 인증 실패

Report_Collection___Machine_Account_Authentication_Failures_5_Rule (Rule)

Knowledge Base article:

요약

이 규칙은 AD 컴퓨터 계정 인증 실패 보고서에 대한 이벤트를 수집합니다. 이 규칙은 이벤트 ID가 5805인 Netlogon 이벤트를 시스템 로그에서 캡처하여 이 데이터를 생성합니다.

이 규칙은 대규모 환경에서 매우 많은 데이터를 생성할 수 있으며, 컴퓨터 계정의 인증이 여러 가지 이유로 인해 실패할 수 있으므로 기본적으로 사용하지 않도록 설정됩니다. 이러한 이벤트 캡처를 시작하려면 이 경고를 재정의하세요.

외부 정보

자세한 내용은 다음을 참조하십시오.

Element properties:

TargetMicrosoft.Windows.Server.2012.R2.AD.DomainControllerRole
CategoryEventCollection
EnabledFalse
Event_ID5805
Event SourceNetLogon
Alert GenerateFalse
RemotableTrue
Event LogSystem
CommentMom2005ID='{2C6970E8-A83B-4329-9CD1-1081754CCC1D}';MOM2005GroupID=

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
CollectEventData WriteAction Microsoft.SystemCenter.CollectEvent Default
CollectEventDataWarehouse WriteAction Microsoft.SystemCenter.DataWarehouse.PublishEventData Default

Source Code:

<Rule ID="Report_Collection___Machine_Account_Authentication_Failures_5_Rule" Comment="Mom2005ID='{2C6970E8-A83B-4329-9CD1-1081754CCC1D}';MOM2005GroupID=" Enabled="false" Target="AD2012R2Core!Microsoft.Windows.Server.2012.R2.AD.DomainControllerRole" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>System</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>5805</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>NetLogon</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="CollectEventData" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="CollectEventDataWarehouse" TypeID="SCDW!Microsoft.SystemCenter.DataWarehouse.PublishEventData"/>

  </WriteActions>

</Rule>