我在服务器上配置审核以捕获失败和成功的网络登录时遇到问题。
今天早上,我们发现我们的一台测试机器的锁定屏幕上有一个奇怪的登录信息。这肯定不是我们域中存在的用户。看到此信息的用户必须重新启动机器才能登录。我后来才发现,所以无法亲自查看锁定屏幕。有人要求我进行调查,但我在受影响的客户端和域控制器上发现的都是非常模糊的日志条目:
- 客户端事件查看器:
- TerminalServices-RemoteConnectionManager 日志:
- 侦听器 RDP-Tcp 收到连接
- 安全日志:
- 没有条目
- TerminalServices-RemoteConnectionManager 日志:
从那时起,我做了一些改变。在域控制器策略中,我启用了审核帐户登录事件和审核登录事件。来源
还遵循了同一主题中的进一步指南,我启用了 Active Directory 更改事件
这是我现在在安全日志中检查 DC 上的事件查看器时的位置:
- 审核失败,包含账户名和时间。事件 ID:4771,失败代码 0x18,预认证类型:2。
基于此来源我知道这是由于密码错误造成的。但是它没有说明从哪里登录,也没有说明登录到哪台远程机器。
如果我输入正确的密码,它会创建事件 ID 4768,表示已请求 Kerberos 身份验证票证,没有结果代码。以下条目中没有关于成功登录的任何信息。
我怎样才能将其放入我的日志中,以便将来再次发生时能够追踪该问题?
总而言之,我需要查看网络上所有尝试、成功和失败的登录尝试。希望我能够将这些日志缩小到目标 IP 地址,以仅显示涉及疑似被入侵的机器的日志。无需任何额外的工具/软件,可以做到这一点吗?