我挂钩了System.Diagnostics.Eventing.Reader.EventLogWatcher类的安全事件日志,并且我正在监视2008服务器框上的事件ID 4625,以获取传入失败登录(RDP,特别是)。事件记录IPAddress并不总是解决
日志捕获工作正常,我将结果转储到相关的,稍后处理的队列中。但是,有时捕获的日志会填充(解析)IPAddress数据字段,有时它们不会。
我在观看服务器时运行windump,试图从不同的服务器和操作系统风格中进行我平常的RDP登录,我可以得出的唯一结论是版本差异问题,而且编码不错。虽然我可能是错的,大声笑。
问题在于事件日志本身与这些连接有关。所有失败的RDP登录都会被记录下来,并被正确处理,但某些日志根本不记录失败连接的源IP地址。
是否有一些新的mstsc味道以某种方式导致远程事件日志不记录源IP地址?对于我针对此挂钩服务器运行的任何其他2008服务器,这似乎都是如此。到目前为止我尝试过的任何2003或XP机器都可以正确记录。
如果您需要更多信息,请告诉我。谢谢!
编辑
我需要做一些疯狂 - 像实施sharpPcap和关联的IPS事件日志时呀? = /。也许可以查询lsass(是不是通常写入安全日志的唯一东西)?
您可能会在http://serverfault.com/ – adrianbanks 2009-11-14 16:40:20
上获得对最后一个问题的更多回复谢谢,我将链接我的acct。并尝试 – asteroid 2009-11-14 18:31:42
http://serverfault.com/questions/84749/event-logging-ipaddress-does-not-always-resolve – asteroid 2009-11-14 18:43:52