我想写一个服务,特别是从安全日志中提取事件查看器logging。 我特别感兴趣的是事件ID 4625(审计失败)消息。 理想情况下,我想存储导致审计失败的客户端的IP,超过n次,持续一段时间。
听起来很容易,所以我很快掀起了一个.NET服务来做到这一点。 但是,当我拉这些审计失败时,“源networking地址”值始终等于“ – ”。 我想知道Windows如何通过login,最终以失败告终,而不知道对方的IP地址。
另外值得注意的是IP地址确实被logging了几次,日志条目实际上包含许多其他有用的信息(如生成它的过程,失败原因,传输的服务等)。
有人可以告诉我为什么安全日志不知道尝试login和失败的人的IP地址?
有人可以告诉我为什么安全日志不知道尝试login和失败的人的IP地址?
这是远程桌面的原因。
在Windows中没有选项来启用或禁用IP地址的logging,至less不是我所知的。
对于远程桌面,我发现进入“远程桌面会话主机configuration”并更改RDP-TCP连接以使“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”的安全层带回IP地址。
您是否真的想要这样做是另一个问题,如果您selectRDP安全层,则不能使用networking级身份validation。
Windows日志中不存在的IP地址并不罕见,特别是如果(例如)故障来自服务(如IIS),并且只有IIS或SMTP的“基本”级日志logging,对SMTP等具有“基本”级别的日志logging
如果Windows是我的操作系统,我不会设置日志logging的默认值,但是盖茨从来没有要求input。 我build议调整您的日志logging级别(并扩大最大日志文件大小),看看是否不能解决问题。 这并不是说Windows不知道源IP,而是设置日志logging级别,使其不logging该信息。 (而且,无论什么价值,将日志级别设置为有用的操作是我在新的Windows服务器或服务器模板上执行的第一步。
与HopelessN00b所说的类似,您看不到这些信息的最可能的原因是审计失败是由代表用户的服务生成的。 因此,用户不是直接进行身份validation(例如loginWindows时),而是通过其他服务(如IIS,SQL等)进行身份validation。然后,您必须parsing这些服务的日志以查找IP地址。
现在,如果直接通过Windows进行身份validation,则通常应该看到IP地址,如果来自本地计算机,则应该看到127.0.0.1。
在Windows中没有选项来启用或禁用IP地址的logging,至less不是我所知的。 所以,没有真正的日志“水平”。 您要么启用日志logging类别,要么不启用。 您唯一可以configuration的是是否logging审计失败和/或审计成功事件(可能参见本文: http : //blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing- windows-2008.-2008中的更改 )。
顺便说一句,有很多免费的产品在那里监控事件日志(比如我们开发EventSentry ),通常用起来更容易,而不是自己写(除非你把它当做练习课程:-))。
希望这可以帮助。