ossec 2.8.3:从 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 获取身份验证警报

ossec 2.8.3:从 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 获取身份验证警报

ossec 2.8.3我正在尝试仅从 Windows 代理获取 RDP 身份验证的警报。

这些事件显示在客户端事件日志 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 中,例如事件 ID 1149

我的 Windows 代理配置文件中有一个

  <localfile>
    <location>Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational</location>
    <log_format>eventchannel</log_format>
  </localfile>

在服务器上的 local_rules.xml 中我有

<group name="rdesktop">
<rule id="100888" level="1">
<match>Remote Desktop Services</match>
<description>Remote Desktop Connection Established</description>
</rule>
</group>

我没有收到来自远程客户端的消息(如果我使用安全性,则会发送警报)

如果我生成 1149 个登录事件,我会通过 tcpdump 看到一些从客户端到服务器的流量,但即使 <logall>yes</logall> 在 ossec 服务器中也没有证据。

有人可以分享一些见解吗?

非常感谢 g。

答案1

也许我理解错了。需要在当地规则中添加选项部分吗?

<options>alert_by_email</options>

相关内容