Windows-Server-2003

Windows:審核/查看遠端網路的登錄?

  • July 3, 2010

我想審核到 Windows 2003 Server 的遠端連接嘗試。我已更改組策略以顯示登錄成功和失敗:

>gpedit.msc

Local Computer Policy
  Computer Configuration
     Windows Settings
        Security Settings
           Local Policies
              Audit Policy
                 Audit logon events: Success, Failure

現在日誌中充滿了失敗事件,例如:

Logon Failure:
   Reason:                 Unknown user name or bad password
   User Name:              server
   ...
   Logon Type:             10
   Logon Process:          User32  
   Authentication Package: Negotiate
   ...
   Source Network Address: 82.114.195.29

雖然登錄失敗事件確實很有趣,但我對登錄成功事件感興趣- 我想看看是否有人進入。這意味著它不是我想要的所有登錄成功事件,只是來自外國網路的事件。

我想過濾 Windows 安全事件日誌以顯示:

  • 事件類型 == “失敗審核”
  • “源網路地址”來自網際網路

或者對於更面向程序員的:

(EventType == FAILURE_AUDIT) &&
(SourceNetworkAddress & 0xffffff00) != 0x0a000000

可能的?

事件查看器不允許您根據“描述”欄位中的條件進行過濾,這是區分“本地”網路和“外部”網路所需的條件。

我的sshd_block腳本可以更改為您正在尋找的內容,或者您​​可以使用我為 Server Fault 的答案編寫的事件日誌電子郵件通知腳本拼湊一些東西。然而,任何一個都沒有對通知的速率限制(我真的應該在我的“豐富的空閒時間”中寫下來……)

引用自:https://serverfault.com/questions/157187