我想编写一个提取事件查看器记录的服务,特别是安全日志.我特别感兴趣的是事件id 4625(审计失败)消息.理想情况下,我想存储导致审计失败超过n次m秒的客户端IP一段时间.
听起来很容易,所以我很快就开始提供.NET服务来做到这一点.但是,当我提取这些审核失败时,“源网络地址”值始终等于“ – ”.我想知道Windows如何通过登录获得,最终失败并且不知道对等方的IP地址.
另外值得注意的是,IP地址记录的次数实际上包含了许多其他有用信息(例如生成它的进程,失败原因,传输的服务等).
有人可以告诉我为什么安全日志不知道尝试登录和失败的人的IP地址?
Can someone please tell me why the Security Log doesn’t know the IP address of people trying to log in and failing?
@H_403_14@这是远程桌面之类的原因.
There is no option in Windows to enable or disable the logging of IP address,at least not to my knowledge.
@H_403_14@对于远程桌面我发现进入“远程桌面会话主机配置”并更改RDP-TCP连接以使安全层“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”带回IP地址.
您是否真的想要这样做是另一个问题,“如果您选择RDP安全层,则无法使用网络级别身份验证.”