Паролю пользователя сквида не удалось пройти проверку подлинности, после того, как обновлено до CentOS 6.4

Можно тралить через все журналы Контроллера домена, ища EventID 672 (Предоставленный Билет Аутентификации Kerberos). Если Вы хотите быть абсолютно уверенными, что пользователь был впоследствии успешно зарегистрирован, можно хотеть коррелировать это с последующим событием с EventID 673, указывающим, что был предоставленный билет практической эксплуатации, не только билет выдачи билетов это 672 дорожки. Существует хорошая запись об эти и связала EventIDs в этой Статье Technet.

Это о единственном способе, которым я знаю об этом, может позволить Вам отслеживать исторические AD входы в систему после факта на доменном уровне, если Вы не используете некоторый сторонний механизм или сценарий, который уже является на месте. Содержание этих Событий будет содержать имя пользователя, и IP-адрес системы вход в систему, порожденный из (определенные детали тех полей находятся в связанной статье, но очевидны при рассмотрении их). Важно помнить, что это будет только полезно, если у Вас будут журналы Контроллера домена, которые возвращаются достаточно далеко, и это может быть большая работа, если у Вас есть большое количество DC. Нет никакого способа использовать эти события (или любой другой kerberos связал события) отслеживать времена выхода из системы, поскольку они не установлены контроллерами домена.

На уровне рабочей станции можно вырыть через журналы, ища Идентификатор события 528 Типов 2 для отслеживания локальных интерактивных входов в систему (даже те, которые используют Учетные записи домена) и тип 2 EventID 538 для отслеживания событий выхода из системы, которые могут дать Вам лучшее представление о фактических временах, потраченный пользователь вошел в систему. Ключевая проблема с ними состоит в том, что они только полезны, если Вы знаете точно, от каких систем пользователь вошел во-первых. Поле Type очень важно, поскольку обычно будет намного больше событий EventID 528\538 Типа 3, которые указывают на connection\disconnection от сетевых ресурсов, таких как доли файла и т.д. Можно найти больше информации об этих событиях в этой статье Microsoft KB.

Для доменов функционального уровня Windows 2003 AD сохраняет последовательную копию атрибута "LastLogonTimeStamp" копируемой через весь DC, но это просто скажет Вам, что последний успешный журнал вовремя и привычка дают Вам любую идею истории входов в систему.