事件查看器中的安全日志不存储 IP

Question 1

有人能告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗？

这就是远程桌面之类的原因。

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

Windows 中没有启用或禁用 IP 地址记录的选项，至少据我所知没有。

对于远程桌面，我发现进入“远程桌面会话主机配置”并更改 RDP-TCP 连接以获得“RDP 安全层”的安全层而不是“协商”或“SSL（TLS 1.0）”会恢复 IP 地址。

您是否真的想这样做是另一个问题，“如果选择 RDP 安全层，则不能使用网络级别身份验证。”

Answer

有人能告诉我为什么安全日志不知道尝试登录但失败的人的 IP 地址吗？

这就是远程桌面之类的原因。

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

Windows 中没有启用或禁用 IP 地址记录的选项，至少据我所知没有。

对于远程桌面，我发现进入“远程桌面会话主机配置”并更改 RDP-TCP 连接以获得“RDP 安全层”的安全层而不是“协商”或“SSL（TLS 1.0）”会恢复 IP 地址。

您是否真的想这样做是另一个问题，“如果选择 RDP 安全层，则不能使用网络级别身份验证。”

Question 2

IP 地址没有出现在 Windows 日志中的情况并不少见，特别是如果（例如）故障来自服务（如 IIS）并且您只有 IIS 的“基本”级别日志记录...或 SMTP 并且您有 SMTP 的“基本”级别日志记录，等等。

如果我的操作系统是 Windows，我不会以这种方式设置日志记录默认值，但 Gates 从未征求过我的意见。我建议调整您的日志记录级别（并扩大最大日志文件大小），看看这是否不能解决问题。这并不是说 Windows 不知道源 IP，而是日志记录级别设置为不记录该信息。（而且，无论如何，将日志记录级别设置为有用的级别是我在新的 Windows 服务器或服务器模板上采取的第一步。）

Answer

IP 地址没有出现在 Windows 日志中的情况并不少见，特别是如果（例如）故障来自服务（如 IIS）并且您只有 IIS 的“基本”级别日志记录...或 SMTP 并且您有 SMTP 的“基本”级别日志记录，等等。

如果我的操作系统是 Windows，我不会以这种方式设置日志记录默认值，但 Gates 从未征求过我的意见。我建议调整您的日志记录级别（并扩大最大日志文件大小），看看这是否不能解决问题。这并不是说 Windows 不知道源 IP，而是日志记录级别设置为不记录该信息。（而且，无论如何，将日志记录级别设置为有用的级别是我在新的 Windows 服务器或服务器模板上采取的第一步。）

Question 3

与 HopelessN00b 所说的类似，您看不到此信息的最可能原因是审核失败是由代表用户的服务生成的。因此，用户不是直接进行身份验证（例如，当他或她登录 Windows 时），而是通过其他服务（如 IIS、SQL 等）进行身份验证。然后，您必须解析这些服务的日志才能找出 IP 地址。

现在，如果身份验证直接通过 Windows，那么您通常应该看到 IP 地址，或者如果来自本地机器，则看到 127.0.0.1。

Windows 中没有启用或禁用 IP 地址日志记录的选项，至少据我所知没有。因此，没有真正的日志记录“级别”。您可以启用或不启用日志记录类别。您唯一可以配置的是是否记录审核失败和/或审核成功事件（也许请参阅这篇文章：http://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing-changes-in-windows-2008.aspx）。

顺便说一句，有很多免费产品可以监控事件日志（例如我们开发的事件哨兵)，通常使用它比自己编写要容易得多（当然，除非你把它当作练习 :-) ）。

希望这可以帮助。

Answer