Ich hänge das Sicherheitsereignisprotokoll mit System.Diagnostics.Eventing.Reader.EventLogWatcher-Klasse, und ich beobachte Ereignis ID 4625 auf einem 2008 Server-Feld für eingehende fehlgeschlagene Anmeldungen (RDP, speziell).Ereignisprotokollierung IPAddress löst nicht immer
Die Protokollerfassung funktioniert gut, und ich bin die Ergebnisse in eine Warteschlange für verwandte, spätere Verarbeitung Dumping. Manchmal enthalten die erfassten Protokolle jedoch das IPAddress-Datenfeld ausgefüllt (aufgelöst) und manchmal nicht.
Ich habe Windump während des Beobachtens des Servers ausgeführt, meine üblichen RDP-Logins von verschiedenen Servern und Betriebssystemaromen ausprobiert, und die einzige Schlussfolgerung, zu der ich kommen kann, ist ein Versionsunterschied, und keine schlechte Codierung. Obwohl ich mich irren könnte, LOL.
Das Problem ist in den Ereignisprotokollen selbst in Bezug auf diese Verbindungen. Alle fehlgeschlagenen RDP-Anmeldungen werden protokolliert und ordnungsgemäß verarbeitet. In einigen Protokollen wird jedoch die Quell-IP-Adresse der fehlgeschlagenen Verbindung nicht aufgezeichnet.
Bedeutet eine neuere Variante von mstsc, dass ein Remote-Ereignisprotokoll die Quell-IP-Adresse NICHT protokolliert? Dies scheint für jeden anderen 2008 Server zu gelten, den ich gegen diesen hooked Server betreibe. Jede 2003 oder XP-Maschine, die ich bisher ausprobiert habe, wird korrekt protokolliert.
Wenn Sie weitere Informationen benötigen, lassen Sie es mich wissen. Danke SO!
EDIT
Muss ich verrückt etwas tun müssen - wie implementieren SharpPcap und IPs korrelieren, so EventLogs? = /. Kann lsass vielleicht abgefragt werden (ist es nicht die einzige Sache, die normalerweise in das Sicherheitsprotokoll schreibt)?
Sie erhalten möglicherweise mehr Antworten auf Ihre letzte Frage über auf http://serverfault.com/ – adrianbanks
Vielen Dank, ich werde mein Konto verknüpfen. und versuchen Sie das – asteroid
http://serverfault.com/questions/84749/event-logging-ipaddress-does-not-always-resolve – asteroid