Windows-Server-2003
Windows:審核/查看遠端網路的登錄?
我想審核到 Windows 2003 Server 的遠端連接嘗試。我已更改組策略以顯示登錄成功和失敗:
>gpedit.msc Local Computer Policy Computer Configuration Windows Settings Security Settings Local Policies Audit Policy Audit logon events: Success, Failure
現在日誌中充滿了失敗事件,例如:
Logon Failure: Reason: Unknown user name or bad password User Name: server ... Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate ... Source Network Address: 82.114.195.29
雖然登錄失敗事件確實很有趣,但我對登錄成功事件更感興趣- 我想看看是否有人進入。這意味著它不是我想要的所有登錄成功事件,只是來自外國網路的事件。
我想過濾 Windows 安全事件日誌以顯示:
- 事件類型 == “失敗審核”
- “源網路地址”來自網際網路
或者對於更面向程序員的:
(EventType == FAILURE_AUDIT) && (SourceNetworkAddress & 0xffffff00) != 0x0a000000
可能的?
事件查看器不允許您根據“描述”欄位中的條件進行過濾,這是區分“本地”網路和“外部”網路所需的條件。
我的sshd_block腳本可以更改為您正在尋找的內容,或者您可以使用我為 Server Fault 的答案編寫的事件日誌電子郵件通知腳本拼湊一些東西。然而,任何一個都沒有對通知的速率限制(我真的應該在我的“豐富的空閒時間”中寫下來……)