par ygainche sur Dim 02 Avr 2006, 20:25
Bonjour,
Tu peux créer une règle de consolidation sur l'évènement du journal de sécurité indiquant un echec de logon.
Le problème est que le nom de l'utilisateur n'est pas dans le champ User mais dans le texte du message.
Une autre solution est de créer une règle d'évènement sur un scheduler réglé par exemple à 5 minutes et de générer en réponse l'exécution d'un script pour analyser je journal de sécurité.
On peut utiliser Logparser dans le script pour faciliter l'analyse du journal plutôt que de faire des requêtes WMI mais cela nécessite le déploiement de LogParser sur tous les agents de sécurité.
à par cela, il existe un Management Pack sécurité mais il est payant.
Microsoft va en inclure un dans la version MOM 2007.
Cordialement,
