Windows – 事件查看器中的安全日志不存储IP

前端之家收集整理的这篇文章主要介绍了Windows – 事件查看器中的安全日志不存储IP前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想编写一个提取事件查看器记录的服务,特别是安全日志.我特别感兴趣的是事件id 4625(审计失败)消息.理想情况下,我想存储导致审计失败超过n次m秒的客户端IP一段时间.

听起来很容易,所以我很快就开始提供.NET服务来做到这一点.但是,当我提取这些审核失败时,“源网络地址”值始终等于“ – ”.我想知道Windows如何通过登录获得,最终失败并且不知道对等方的IP地址.

另外值得注意的是,IP地址记录的次数实际上包含了许多其他有用信息(例如生成它的进程,失败原因,传输的服务等).

有人可以告诉我为什么安全日志不知道尝试登录和失败的人的IP地址?

Can someone please tell me why the Security Log doesn’t know the IP address of people trying to log in and failing?

这是远程桌面之类的原因.

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

There is no option in Windows to enable or disable the logging of IP address,at least not to my knowledge.

对于远程桌面我发现进入“远程桌面会话主机配置”并更改RDP-TCP连接以使安全层“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”带回IP地址.

您是否真的想要这样做是另一个问题,“如果您选择RDP安全层,则无法使用网络级别身份验证.”

猜你在找的Windows相关文章