kma*_*ks2 5 security windows logging windows-event-log
我想编写一个服务来提取事件查看器记录,特别是从安全日志中提取。我特别感兴趣的是诸如事件 ID 4625(审计失败)消息之类的东西。理想情况下,我想n在m一段时间内存储导致审计失败多次的客户端 IP 。
听起来很简单,所以我很快就创建了一个 .NET 服务来做到这一点。但是,当我提取这些审核失败时,“源网络地址”值始终等于“-”。我想知道 Windows 如何一路登录,以失败告终并且不知道对等方的 IP 地址。
同样值得注意的是,IP 地址被记录的次数很少,日志条目实际上包含许多其他有用的信息(例如生成它的进程、失败原因、传输的服务等)。
有人可以告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗?
小智 6
有人可以告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗?
这是远程桌面之类的原因。
Windows 中没有选项可以启用或禁用 IP 地址的日志记录,至少我不知道。
对于远程桌面,我发现进入“远程桌面会话主机配置”并更改 RDP-TCP 连接以使用“RDP 安全层”而不是“协商”或“SSL(TLS 1.0)”的安全层带回 IP地址。
是否真的要这样做是另一个问题,“如果选择 RDP 安全层,则不能使用网络级身份验证”。
Windows 日志中不存在 IP 地址的情况并不罕见,特别是如果(例如)故障来自某个服务(例如 IIS),而您只有 IIS 的“基本”级别日志记录...或 SMTP 以及您有 SMTP 等“基本”级别的日志记录。
\n\n如果 Windows 是我的操作系统,那么我设置日志默认值的方式就不是这样,但盖茨从未询问过我的意见。我建议调整您的日志记录级别(并扩大最大日志文件大小),看看这是否不能解决问题。这并不是说 Windows 不知道源 IP,而是日志记录级别设置为不记录该信息。(而且,无论 xe2\x80\x99 的价值如何,将日志记录级别设置为有用的值是我在新的 Windows 服务器或服务器模板上执行的第一步。)
\n| 归档时间: |
|
| 查看次数: |
30812 次 |
| 最近记录: |