我管理的服务器运行 Windows Server 2008 R2,该服务器经常受到通过 FTP 进行的暴力攻击。这些失败的登录尝试在 Windows 日志的安全部分中显示为审核失败错误(事件 ID 4625),登录类型为 8(NetworkCleartext)。在每个事件日志条目中,源网络地址(即应被阻止的违规 IP 地址)从未列出,但是,IP 地址在 FTP 日志中列出(默认位于 C:\inetpub\logs\LogFiles\FTPSVC2)。
有没有什么办法可以让 FTP 日志清楚知道的有问题的 IP 地址也出现在安全 Windows 日志中?
答案1
产品中没有任何功能可以满足您的要求。这毫无意义,但自从 Microsoft 在 Windows 中拥有 FTP 服务器以来,情况一直如此。
背景:我开发了一个实用程序,用于阻止来自暴力 RDP 登录尝试的 IP 地址。我一次又一次被要求向该脚本添加 FTP 功能,因此,我对此进行了研究。没有办法从事件日志中获取有问题的 IP 地址。