我想审核对 Windows 2003 Server 的远程连接尝试。我已更改组策略以显示登录成功和失败:
>gpedit.msc
Local Computer Policy
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
Audit logon events: Success, Failure
现在日志里充满了失败类似以下的活动:
Logon Failure:
Reason: Unknown user name or bad password
User Name: server
...
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
...
Source Network Address: 82.114.195.29
尽管登录失败活动确实很有趣,我更多的有兴趣登录成功活动 - 我想看看是否有人进来。这意味着它不是全部登录成功我想要的事件,只是来自国外网络的事件。
我想要过滤 Windows 安全事件日志以显示:
- 事件类型 == “失败审计”
- “源网络地址”来自互联网
或者对于更面向程序员的人来说:
(EventType == FAILURE_AUDIT) && (SourceNetworkAddress & 0xffffff00) != 0x0a000000
可能的?
答案1
事件查看器不允许您根据“描述”字段中的条件进行筛选,而这正是区分“本地”网络和“外部”网络所需要的。
我的sshd_block脚本可以修改以执行您想要的操作,或者您可以使用事件日志电子邮件通知脚本我写了一篇关于 Server Fault 的回答。然而,这两篇文章都没有对通知进行速率限制(我真的应该利用我“充裕的空闲时间”来写这篇文章……)