Windows – 事件查看器中的安全日志不存储IP

我想编写一个提取事件查看器记录的服务,特别是安全日志.我特别感兴趣的是事件id 4625(审计失败)消息.理想情况下,我想存储导致审计失败超过n次m秒的客户端IP一段时间.

听起来很容易,所以我很快就开始提供.NET服务来做到这一点.但是,当我提取这些审核失败时,“源网络地址”值始终等于“ – ”.我想知道Windows如何通过登录获得,最终失败并且不知道对等方的IP地址.

另外值得注意的是,IP地址记录的次数实际上包含了许多其他有用信息(例如生成它的进程,失败原因,传输的服务等).

有人可以告诉我为什么安全日志不知道尝试登录和失败的人的IP地址?

Can someone please tell me why the Security Log doesn’t know the IP address of people trying to log in and failing?

这是远程桌面之类的原因.

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

There is no option in Windows to enable or disable the logging of IP address,at least not to my knowledge.

对于远程桌面我发现进入“远程桌面会话主机配置”并更改RDP-TCP连接以使安全层“RDP安全层”而不是“协商”或“SSL(TLS 1.0)”带回IP地址.

您是否真的想要这样做是另一个问题,“如果您选择RDP安全层,则无法使用网络级别身份验证.”

相关文章

(1)when you ping a computer from itsafe,the ping command should return the local IP address. (...
1、点击win菜单,点击设置图标 2、选择系统选项 3、选择应用与程序选项 4、拉到最下方,选择程序与功能...
目前一直直接往Windows 2008 R2 Server中复制文件(暂时还没有搭建ftp服务),突然不能复制了,于是百度...
windows下使用vscode配合xebug调试php脚本 要下载有php_xebug.dll扩展的版本,最新版可能没有这个扩展,p...
在控制面板的程序与功能里启用和关闭windows功能打开,适用于linux的windows子系统
效果演示 推荐一个非常牛的文档网站生成器:docsify 我通过这个工具,成功将码云上的个人学习笔记发布到...