在Windows Server 2003中,当logintypes为10(远程login)的事件529(login失败)发生时,源networkingIP地址被logging在事件日志中。
在Windows XP机器上,这个(和一些其他细节)被省略。
如果一个僵尸程序试图对RDP进行暴力破解(我的一些XP机器是(并且需要)公开IP地址的话),我看不到原始IP地址,所以我不知道该怎么阻止脚本我跑几分钟)。
DClogin尝试到客户端xp计算机时不会logging此详细信息,并且DC仅被要求validation凭据。
在日志中得到这个细节的任何帮助将不胜感激。
Port Reporterparsing器(PR-Parser)工具的说明http://support.microsoft.com/default.aspx?scid=kb;en-us;884289