Os eventos de bloqueio de invasores serão registrados no arquivo sys: \ etc \ console.log (supondo que você tenha o CONLOG.NLM em execução) se estiver em execução no NetWare. Se este for um servidor Linux OES2, então acho que estará em / var / log / messages.
Isso é uma coisa por servidor, já que cada possível servidor de réplica será responsável pelos eventos de bloqueio.
Se você tivesse o Identity Manager na mistura, você poderia ter um driver para capturar todos esses eventos e fazer algo com eles, conforme necessário.
Infelizmente, a fonte do bloqueio não será tão clara quanto você gostaria. Os processos do servidor que estão sendo usados para efetuar login (como o LDAP ou talvez CIFS ou AFP) geralmente são exibidos com um valor sem sentido e não são úteis. Os aplicativos da Web podem ser praticamente os mesmos, pois geralmente estarão fazendo uma ligação LDAP.
Isso funciona melhor se houver máquinas clientes fazendo a conexão através do NCP (por exemplo, Client32 ou similar).