Добрый день!
Помогите настроить триггер.
Хочу:
Из лога security срабатывать на события, id которого = 529 (неизвестное имя пользователя или пароль)
{Template_Eventviewer:eventlog[Security].str(529)}=1
- результата не даёт
{Template_Eventviewer:eventlog[Security].str(неизвестное имя пользователя или неверный пароль)}=1 - аналогично
-------------------------------
вот само событие:
Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 25.05.2010
Время: 10:18:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: XXX
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: администратор
Домен: XXXX
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: WORK111
Имя вызывающего пользователя: XXXX$
Домен вызывающего: XXXXX
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2712
Промежуточные службы: -
Адрес сети источника: 192.168.1.XX
Порт источника: 3248
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
--------------------------------
Заранее спасибо
Помогите настроить триггер.
Хочу:
Из лога security срабатывать на события, id которого = 529 (неизвестное имя пользователя или пароль)
{Template_Eventviewer:eventlog[Security].str(529)}=1
- результата не даёт
{Template_Eventviewer:eventlog[Security].str(неизвестное имя пользователя или неверный пароль)}=1 - аналогично
-------------------------------
вот само событие:
Тип события: Аудит отказов
Источник события: Security
Категория события: Вход/выход
Код события: 529
Дата: 25.05.2010
Время: 10:18:23
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: XXX
Описание:
Сбой входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: администратор
Домен: XXXX
Тип входа: 10
Процесс входа: User32
Пакет проверки: Negotiate
Рабочая станция: WORK111
Имя вызывающего пользователя: XXXX$
Домен вызывающего: XXXXX
Код входа вызывающего: (0x0,0x3E7)
Код процесса вызывающего: 2712
Промежуточные службы: -
Адрес сети источника: 192.168.1.XX
Порт источника: 3248
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
--------------------------------
Заранее спасибо
Comment