特にセキュリティログから、イベントビューアのレコードを取得するサービスを作成したいと思います。特に興味深いのは、イベントID 4625(監査失敗)メッセージなどです。監査が失敗するクライアントのIPをn
秒以上m
秒で保存しておくのが理想的です。
簡単そうに聞こえるので、これを行うために.NETサービスをすばやく作成しました。ただし、これらの監査エラーをプルすると、「ソースネットワークアドレス」の値は常に「-」になります。ピアのIPアドレスがわからずに、Windowsがログオンを通り抜けて失敗に終わり、どのようにして失敗するかを知りたいのですが。
また、IPアドレスがログに記録されることが数回あることも注目に値します。実際には、ログエントリに他の多くの有用な情報が含まれています(それを生成したプロセス、障害の理由、送信されたサービスなど)。
ログインしようとして失敗した人のIPアドレスがセキュリティログで認識されない理由を教えてください。
ログインしようとして失敗した人のIPアドレスがセキュリティログで認識されない理由を教えてください。
これは、リモートデスクトップなどの原因です。
Windowsには、少なくとも私の知る限りでは、IPアドレスのログを有効または無効にするオプションはありません。
リモートデスクトップの場合、「リモートデスクトップセッションホストの構成」に移動し、RDP-TCP接続を変更して、「ネゴシエート」または「SSL(TLS 1.0)」ではなく「RDPセキュリティレイヤー」のセキュリティレイヤーがIPを戻すようにしたアドレス。
これを本当に実行するかどうかは、「RDPセキュリティレイヤーを選択した場合、ネットワークレベル認証を使用できない」という別の質問です。
WindowsログにIPアドレスが存在しないことはそれほど珍しいことではありません。特に(たとえば)、失敗がIISなどのサービスから発生していて、「基本」レベルのログしか記録されていない場合) IIS ...またはSMTPの場合、SMTPなどの「基本」レベルのログがあります。
Windowsが私のOSである場合にロギングのデフォルトを設定する方法ではありませんでしたが、Gatesは入力を要求しませんでした。ログレベルを調整して(最大ログファイルサイズを拡張して)、問題が解決しないかどうかを確認することをお勧めします。 WindowsがソースIPを認識していないのではなく、その情報を記録しないようにログレベルが設定されています。 (そして、それが何であれ、ログレベルを有用なものに設定することは、新しいWindowsサーバーまたはサーバーテンプレートで最初に実行するステップの1つです。)
HopelessN00bが言ったことと同様に、この情報が表示されない最も可能性の高い理由は、監査の失敗がユーザーに代わってサービスによって生成されるためです。したがって、ユーザーは(たとえば、Windowsにログインするときのように)直接認証するのではなく、IIS、SQLなどの他のサービスを介して認証します。これらのサービスのログを解析して、IPを見つける必要があります。住所。
これで、認証が直接Windowsを介している場合、通常はIPアドレスが表示されます。ローカルマシンからのものである場合は、127.0.0.1が表示されます。
Windowsには、少なくとも私の知る限りでは、IPアドレスのロギングを有効または無効にするオプションはありません。したがって、実際のロギング「レベル」はありません。ロギングカテゴリを有効にするかどうかを指定します。構成できる唯一のことは、監査の失敗や監査の成功イベントを記録するかどうかです(多分この記事を参照してください: http://blogs.technet.com/b/askds/archive/2007/10/19/ Introduction-auditing-changes-in-windows-2008.aspx )。
ところで、イベントログを監視する無料の製品はたくさんあります(たとえば、開発 EventSentry )。通常、自分で書くよりもそれを使用する方がはるかに簡単です(演習として行う場合を除きます)。もちろん :-) )。
お役に立てれば。
ファイアウォールからログインできます。単一のIPからのブルートフォース攻撃の場合、これは簡単に一致します。ファイアウォールは上流にあります。その後、接続の検出とブロックを自動化する方法はあなた次第です。エンドポイントが不足することはありません。
ドアがファイアウォールの穴をノックするスクリプトを検討することもできます。これは、NSG(Network Security Group)操作が最も単純な極端な方法で、今日クラウドで日常的に行われています。ジャンプサーバーまたは要塞サーバーを介したトランポリンも一般的です。
多くの場合、NTLMインバウンドトラフィックが原因です。 IPをログに記録する方法が見つかりませんでしたが、ブロックすることができます。ここでは、ログに記録されない理由と手順を確認できます インバウンドNTLMトラフィックを無効にする方法https://serverfault.com/a/729662/200398