12294错误事件的处理--利用审核日志查找病毒来源

        最近公司的一台域服务器（windows server 2003域控制器）系统日志大量出现事件ID号为12294，来源为SAM的错误日志，错误信息描述如下：

-------------------------------------------

事件類別目錄: 無
事件識別碼: 12294
日期:  2009/3/9
時間:  下午 02:08:29
使用者:  Administrator
電腦: 

描述:
SAM 資料庫無法鎖定帳戶 Administrator，因為資源發生錯誤，例如硬碟寫入失敗(資料中包含 指定錯誤碼)。在您提供了數次錯誤的密碼之後，帳戶會被鎖定。請重新設定上述帳戶 的密碼。

--------------------------------------------

 

        如上图所示，此错误会频繁出现，事件查看器里“全国山河一片红”。

 

        到微软支持网站查询了一下事件ID号，原来是网络中某一台电脑感染了W32.Randex.F 蠕虫病毒。从描述中可知administrator账号被意外锁定失败。

 

        现在只要查出网络中感染病毒的机器就可以了，按照以前的经验，马上运行sniffer监控网络的运行情况，但由于W32.Randex.F 蠕虫病毒发作时不建立大量连接，也不会在网络中大量发送数据包，只会在宿主机上不断地尝试以administrator账号在后台登录，而超过错误次数后活动目录会锁定此账号，造成意外锁定账号失败的错误发生。所以很难通过sniffer查出故障来源。

 

        但通过活动目录的账号登录机制：账号登录都必需到PDC去验证身份，必定会产生大量登录失败的记录。因此，我们可以监控账号的登录事件来查找病毒源。

 

         打开域控制器--“系统管理工具”--“域安全策略”--“本机原则”--“稽核原则”，如下图：

 

        由于审核失败的事件对于管理员排错比较有帮助，为了减少日志数据量，我们只设置只审核失败的登入事件。如下图：

 

 

       这样，我们再打开域控制器（PDC）的事件查看器，点击“安全性”，就可以看到大量的错误登录的审核失败事件，打开事件描述，我们就可以知道哪台电脑有问题了，如下图：

 

 

注：可能会有多台机器感染w32.Randex.f病毒，需要管理员不断的查看审核日志，跟进处理。

本文转自 donhuang 51CTO博客，原文链接:http://blog.51cto.com/donhuang/137179