Вопрос: Журнал безопасности в Event Viewer не хранит IP-адреса


Я хотел бы написать службу, которая извлекает записи Event Viewer, в частности из журнала безопасности. Особый интерес для меня представляют такие вещи, как сообщения о событиях id 4625 (аудит). В идеале я хотел бы сохранить IP-адрес клиентов, которые вызывают аудит, n раз в m секунд на некоторое количество времени.

Звучит достаточно просто, поэтому я быстро взломал .NET-сервис, чтобы сделать именно это. Однако, когда я вытягиваю эти ошибки аудита, значение «Адрес исходной сети» всегда равно «-». Я хотел бы знать, как Windows может пройти весь путь через вход в систему, завершить сбой и не знать IP-адрес партнера.

Также стоит отметить, что несколько раз, когда IP-адрес регистрируется, запись в журнале действительно содержит много другой полезной информации (например, процесс, который сгенерировал его, причину сбоя, переданные службы и т. Д.).

Может кто-нибудь, пожалуйста, скажите мне, почему журнал безопасности не знает IP-адрес людей, пытающихся войти в систему и провалившись?


5
2018-06-18 18:31


Источник


Может быть полезно, если вы дадите нам версию ОС ... и / или какой уровень ведения журнала, который вы делаете в событиях безопасности, так как вам может потребоваться увеличить уровень ведения журнала, чтобы узнать, о чем вы просите. - HopelessN00b
Стандарт сервера 2008 R2. Я думаю, что уровень ведения журнала повлияет только на то, какие события были зарегистрированы, то есть, будет ли регистрироваться аудит. Моя проблема заключается в том, что события непоследовательно имеют и не имеют IP-адрес клиента, пытающегося подключиться. - kmarks2
вы включили аудит? - tony roth
Документы RdpGuard могут помочь. Установка программного обеспечения не требуется. rdpguard.com/windows-server-how-to-catch-failed-logons.aspx - slat
См. Мой ответ на этот вопрос - serverfault.com/questions/379092/... - wqw


Ответы:


Может кто-нибудь, пожалуйста, скажите мне, почему журнал безопасности не знает IP-адрес людей, пытающихся войти в систему и провалившись?

Вот причина для чего-то вроде Remote Desktop.

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

В Windows нет возможности включить или отключить ведение журнала IP-адреса, по крайней мере, до моего сведения.

Для удаленного рабочего стола я обнаружил, что переход на «Конфигурация узла сеансов удаленных рабочих столов» и изменение соединения RDP-TCP для обеспечения уровня безопасности «Уровень безопасности RDP» вместо «Negotiate» или «SSL (TLS 1.0)» привел IP-адрес адреса.

Если вы действительно хотите это сделать, это еще один вопрос для вас: «Если вы выберете RDP Security Layer, вы не сможете использовать аутентификацию на уровне сети».


5
2017-07-06 23:55





IP-адреса, которые не присутствуют в журналах Windows, не так уж необычны, особенно если (например), сбои поступают от службы, например IIS, и у вас есть только «базовый» уровень ведения журнала для IIS ... или SMTP, и вы имеют «базовый» уровень регистрации для SMTP и т. д.

Не так, как я установил мои настройки по умолчанию для ведения журнала, если бы Windows была моей ОС, но Гейтс никогда не просил моего ввода. Я бы предложил настроить уровни ведения журнала (и увеличить максимальный размер файла журнала) и посмотреть, не устранит ли это проблему. Дело не в том, что Windows не знает исходный IP-адрес, но уровень регистрации установлен таким образом, что он не записывает эту информацию. (И, что бы ни стоило, установка уровня ведения журнала на что-то полезное - это один из первых шагов, которые я предпринимаю на новом шаблоне сервера или сервера Windows.)


2
2018-06-18 19:21





Подобно тому, что сказал HopelessN00b, наиболее вероятная причина, по которой вы не видите эту информацию, заключается в том, что аудит аудита генерируется службой от имени пользователя. Таким образом, пользователь не аутентифицируется напрямую (поскольку он или она будет при входе в Windows, например), но через какую-либо другую службу, такую ​​как IIS, SQL и т. Д. Затем вам придется анализировать журналы этих служб, чтобы узнать IP-адрес адрес.

Теперь, если аутентификация осуществляется напрямую через Windows, тогда вы обычно должны видеть IP-адрес или 127.0.0.1, если он поступает с локальной машины.

В Windows нет возможности включить или отключить ведение журнала IP-адреса, по крайней мере, до моего сведения. Таким образом, нет реального уровня ведения журнала. Вы либо включаете категорию ведения журнала, либо нет. Единственное, что вы можете настроить, - это регистрировать ошибки аудита и / или события успешного аудита (возможно, см. Эту статью: http://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing-changes-in-windows-2008.aspx).

BTW, есть много бесплатных продуктов, которые отслеживают журналы событий (например, мы разрабатываем EventSentry), обычно гораздо проще использовать это, а не писать свои собственные (если вы не делаете это как упражнение, конечно :-)).

Надеюсь это поможет.


1
2018-06-19 14:15





Вероятно, это связано с входящим трафиком NTLM. Я не мог найти способ регистрации ip, но вы можете заблокировать его, здесь вы можете узнать, почему не регистрируется и не выполняется как отключить входящий трафик NTLM https://serverfault.com/a/729662/200398


0
2018-01-18 10:55