在我的域控制器事件日志中,我收到来自服务帐户用户名的帐户故障信息。
信息如下:
Security ID: DOMAIN\serviceaccount
Account Name: serviceaccount
Additional Information:
Caller Computer Name: FreeRDP
这对我来说真的一点帮助都没有。我正在寻找一个 IP 地址,因为任何客户端在尝试登录时都可以“告诉我”他们是谁。是否有任何详细或基于文本的日志记录可供我检查或实施以获取源/目标 IP 等?
答案1
安全事件日志不会提供所有可能的信息。如果您需要更多详细信息,请安装并使用 SysMon:
https://technet.microsoft.com/en-us/sysinternals/sysmon
默认情况下未启用网络日志记录,您需要包含 -n 开关。
sysmon -accepteula –i –h sha1,sha256 –n