我想审计到Windows 2003 Server的远程连接尝试。 我已经改变了组策略,以显示login成功和失败:
>gpedit.msc Local Computer Policy Computer Configuration Windows Settings Security Settings Local Policies Audit Policy Audit logon events: Success, Failure 而现在日志充满了失败事件,如:
Logon Failure: Reason: Unknown user name or bad password User Name: server ... Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate ... Source Network Address: 82.114.195.29
虽然login失败事件确实很有趣,但我更感兴趣的是login成功事件 – 我想看看是否有人进来。这意味着它不是所有的login成功事件,我只是从外国networking。
我想筛选Windows安全事件日志以显示:
或者对于更多程序员来说:
(EventType == FAILURE_AUDIT) && (SourceNetworkAddress & 0xffffff00) != 0x0a000000
可能?
事件查看器将不允许您在“描述”字段中筛选条件,这是您需要区分“本地”networking和“外部”networking的条件。
我的sshd_block脚本可能会被改变来做你正在寻找的东西,或者你可能会使用我写的服务器故障回答的事件日志邮件通知脚本来拼凑一些东西在一起。 但是,任何一个都没有对通知进行速率限制(我真的应该在我的“丰富的空闲时间”里写下来……)