Log de segurança no Visualizador de eventos não armazena IPs

5

Gostaria de escrever um serviço que extraia registros do Visualizador de Eventos, especificamente do log de Segurança. De particular interesse para mim são coisas como mensagens de identificação de evento 4625 (falha de auditoria). Idealmente, gostaria de armazenar o IP de clientes que causam falhas de auditoria mais de n vezes em m segundos por algum tempo.

Parece fácil, então eu rapidamente criei um serviço .NET para fazer exatamente isso. No entanto, quando eu puxo essas falhas de auditoria, o valor "Endereço de rede de origem" é sempre igual a "-". Gostaria de saber como o Windows pode percorrer todo o caminho, terminar em falha e não conhecer o endereço IP do mesmo.

Também vale a pena notar que poucas vezes que o endereço IP é logado, a entrada de log de fato contém muitas outras informações úteis (como o Processo que o gerou, o motivo da falha, os serviços transmitidos, etc.).

Alguém pode me dizer por que o registro de segurança não sabe o endereço IP de pessoas que tentam fazer login e falhar?

    
por kmarks2 18.06.2012 / 20:31

4 respostas

5

Can someone please tell me why the Security Log doesn't know the IP address of people trying to log in and failing?

Aqui está a causa de algo como o Remote Desktop.

link

There is no option in Windows to enable or disable the logging of IP address, at least not to my knowledge.

Para a Área de Trabalho Remota, descobri que entrar em "Configuração do Host de Sessão da Área de Trabalho Remota" e alterar a conexão RDP-TCP para ter a camada de segurança "RDP Security Layer" em vez de "Negotiate" ou "SSL (TLS 1.0)" de volta os endereços IP.

Se você realmente quer fazer isso é outra pergunta para você: "Se você selecionar RDP Security Layer, não poderá usar a Autenticação no Nível da Rede."

    
por 07.07.2014 / 01:55
2

Os endereços IP que não estão presentes nos registros do Windows não são tão incomuns, especialmente se (por exemplo), as falhas são provenientes de um serviço, como o IIS e você só tem log de nível "básico" para IIS ... ou SMTP e você tem log de nível "básico" para SMTP, etc.

Não é a maneira que eu defini meus padrões de log se o Windows fosse meu sistema operacional, mas Gates nunca pediu minha entrada. Eu sugiro ajustar seus níveis de log (e expandir os tamanhos máximos de arquivos de log) e ver se isso não resolve o problema. Não é que o Windows não saiba o IP de origem, mas que o nível de log está definido de tal forma que não esteja gravando essa informação. (E, seja qual for o valor, definir o nível de registro em log para algo útil é um dos primeiros passos que realizo em um novo modelo de servidor ou servidor do Windows.)

    
por 18.06.2012 / 21:21
1

Semelhante ao que o HopelessN00b disse, a razão mais provável pela qual você não vê essas informações é porque as falhas de auditoria são geradas por um serviço em nome do usuário. Portanto, o usuário não está autenticando diretamente (como faria ao fazer login no Windows, por exemplo), mas através de algum outro serviço como IIS, SQL, etc. Você teria que analisar os logs desses serviços para descobrir o IP. endereço.

Agora, se a autenticação for feita diretamente pelo Windows, normalmente você deverá ver o endereço IP ou 127.0.0.1 se estiver vindo da máquina local.

Não há nenhuma opção no Windows para ativar ou desativar o registro do endereço IP, pelo menos, não é do meu conhecimento. Portanto, não há "nível" de registro real. Você quer ativar uma categoria de registro ou não. A única coisa que você pode configurar é registrar falhas de auditoria e / ou auditar eventos de sucesso (talvez veja este artigo: link ).

BTW, existem muitos produtos gratuitos por aí que monitoram os logs de eventos (por exemplo, desenvolvemos EventSentry ), geralmente é muito mais fácil apenas use isso em vez de escrever o seu próprio (a menos que você faça isso como um exercício claro :-)).

Espero que isso ajude.

    
por 19.06.2012 / 16:15
0

Muito provavelmente originado pelo tráfego de entrada NTLM. Não consegui encontrar uma maneira de logar o ip mas você pode bloqueá-lo, aqui você pode encontrar porque não está logado e passos em como desabilitar tráfego NTLM de entrada https://serverfault.com/a/729662/200398

    
por 18.01.2018 / 11:55