Windows-Server-2008

如何在 Windows Server 2008 R2 上的安全 Windows 日誌中列出失敗的 FTP 嘗試的源網路地址?

  • January 29, 2014

我管理著一台執行 Windows Server 2008 R2 的伺服器,該伺服器不斷受到通過 FTP 的蠻力攻擊的轟炸。這些失敗的登錄嘗試顯示在 Windows 日誌的安全部分中作為審核失敗錯誤(事件 ID 4625),登錄類型為 8(網路明文)。在每個事件日誌條目中,源網路地址(即應該被阻止的有問題的 IP 地址)從未被列出,但是,IP 地址被列在 FTP 日誌中(預設位於 C:\inetpub\logs\LogFiles\FTPSVC2 )。

有什麼方法可以讓 FTP 日誌清楚知道的有問題的 IP 地址也顯示在安全 Windows 日誌中?

產品中沒有任何功能可以滿足您的需求。這是沒有意義的,但自從微軟在 Windows 中擁有一個 FTP 伺服器後,情況就是如此。

背景:我開發了一個實用程序,可以阻止獲取暴力 RDP 登錄嘗試的 IP 地址。我被要求一次又一次地向該腳本添加 FTP 功能,因此,我對此進行了研究。無法從事件日誌中獲取違規 IP 地址。

引用自:https://serverfault.com/questions/570597