我想编写一个提取事件查看器记录的服务,特别是安全日志.我特别感兴趣的是事件id 4625(审计失败)消息.理想情况下,我想存储导致审计失败超过n次m秒的客户端IP一段时间.
听起来很容易,所以我很快就开始提供.NET服务来做到这一点.但是,当我提取这些审核失败时,“源网络地址”值始终等于“ – ”.我想知道Windows如何通过登录获得,最终失败并且不知道对等方的IP地址.
另外值得注意的是,IP地址记录的次数实际上包含了许多其他有用信息(例如生成它的进程,失败原因,传输的服务等).
有人可以告诉我为什么安全日志不知道尝试登录和失败的人的IP地址?
Can someone please tell me why the Security Log doesn’t know the IP address of people trying to log in and failing?
这是远程桌面之类的原因.
There is no option in Windows to enable or disable the logging of IP address,at least not to my knowledge.
对于远程桌面我发现进入“远程桌面会话主机配置”并更改RDP-TCP连接以使安全层“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”带回IP地址.
您是否真的想要这样做是另一个问题,“如果您选择RDP安全层,则无法使用网络级别身份验证.”