我pipe理一台运行Windows Server 2008 R2的服务器,这个服务器不断遭到通过FTP的暴力攻击的轰炸。 这些失败的login尝试在Windows日志的“安全”部分显示为“logintypes为8(NetworkCleartext)”的审核失败错误(事件ID 4625)。 在每个事件日志条目中,源networking地址(即应该被阻止的有问题的IP地址)从不列出,但是IP地址列在FTP日志中(默认位于C:\ inetpub \ logs \ LogFiles \ FTPSVC2 )。
有没有办法让FTP日志清楚知道的有问题的IP地址也出现在安全Windows日志中?
产品中没有任何function可以做你正在寻找的东西。 这是没有道理的,但是这是微软在Windows中拥有FTP服务器以来的情况。
背景:我开发了一个实用程序,用于阻止IP地址采用蛮力RDPlogin尝试。 我被要求一次又一次地向该脚本添加FTPfunction,因此,我研究了这一点。 没有办法从事件日志得到冒犯的IP地址。