Windows: audyt/przeglądanie logowań ze zdalnych sieci?
Chcę monitorować próby zdalnego połączenia z systemem Windows 2003 Server. Zmieniłem zasady grupy, aby odzwierciedlić udane i nieudane próby logowania:
>gpedit.mscLocal Computer Policy
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
Audit logon events: Success, Failure
A teraz magazyny są pełne
niepowodzenie
wydarzenia takie jak:
Logon Failure:
Reason: Unknown user name or bad password
User Name: server
...
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
...
Source Network Address: 82.114.195.29
Aż do
Logowanie nie powiodło się
wydarzenia oczywiście interesujące, ja
Jeszcze
zainteresowany
Logowanie zakończone sukcesem
wydarzenia - chcę zobaczyć, czy ktoś został trafiony. Więc to nie wszystko
Logowanie zakończone sukcesem
wydarzenia, które chcę, pochodzą tylko z zagranicznych sieci.
Chcę przefiltrować dziennik zdarzeń zabezpieczeń systemu Windows, aby pokazać:
- Typ zdarzenia == "Audyt niepowodzeń"
- „Źródłowy adres sieciowy” pochodzi z Internetu.
(EventType == FAILURE_AUDIT) &&Może?
(SourceNetworkAddress & 0xffffff00) != 0x0a000000
Nie znaleziono powiązanych wyników
Zaproszony:
Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się
1 odpowiedzi
Anonimowy użytkownik
Potwierdzenie od:
Mój
sshd_block
https://serverfault.com/questi ... 43900
skrypt można zmodyfikować, aby robił to, czego szukasz, lub prawdopodobnie możesz coś połączyć za pomocą
skrypt powiadamiania e-mailem dziennika zdarzeń
https://serverfault.com/questi ... 48391
Napisałem, aby uzyskać odpowiedź na awarię serwera. Jednak żaden z nich nie ma limitu zgłoszeń (o którym naprawdę powinienem napisać w moim "obfitym wolnym czasie" ...)