我想编写一个服务来提取事件查看器记录,特别是从安全日志中提取。我特别感兴趣的是诸如事件 ID 4625(审计失败)消息之类的东西。理想情况下,我想n在m一段时间内存储导致审计失败多次的客户端 IP 。
听起来很简单,所以我很快就创建了一个 .NET 服务来做到这一点。但是,当我提取这些审核失败时,“源网络地址”值始终等于“-”。我想知道 Windows 如何一路登录,以失败告终并且不知道对等方的 IP 地址。
同样值得注意的是,IP 地址被记录的次数很少,日志条目实际上包含许多其他有用的信息(例如生成它的进程、失败原因、传输的服务等)。
有人可以告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗?