问安全日志事件查看器不存储IP

EN

有人能告诉我为什么安全日志不知道试图登录和失败的人的IP地址吗？

这是一些类似远程桌面的原因。

http://cyberarms.net/security-insights/security-lab/remote-desktop-logging-of-ip-address-%28security-event-log-4625%29.aspx

在Windows中，没有任何选项可以启用或禁用IP地址的日志记录，至少据我所知是这样的。

对于远程桌面，我发现进入“远程桌面会话主机配置”并将RDP-TCP连接更改为"RDP安全层“的安全层而不是”协商“或"SSL (TLS 1.0)”会带回IP地址。

您是否真的想这样做是另一个问题，“如果选择RDP安全层，则不能使用网络级别身份验证。”

不存在于Windows日志中的IP地址并不少见，特别是如果(例如)故障来自服务，比如IIS，而且您只有IIS的“基本”级别日志。或者SMTP，您可以对SMTP进行“基本”级别日志记录，等等。

如果Windows是我的操作系统，我设置日志默认设置的方式不是这样的，但盖茨从未要求我提供输入。我建议调整您的日志记录级别(并扩展最大日志文件大小)，看看这是否解决不了问题。这并不是说Windows不知道源IP，而是因为日志记录级别的设置使得它没有记录这些信息。(无论如何，将日志级别设置为有用的级别是我在新的Windows服务器或服务器模板上执行的第一步。)

与HopelessN00b所说的类似，您看不到这些信息的最可能原因是审计失败是由代表用户的服务生成的。因此，用户并不像登录Windows时那样直接进行身份验证，而是通过IIS、SQL等其他服务进行身份验证。然后，您必须解析这些服务的日志以查找IP地址。

现在，如果身份验证是直接通过Windows进行的，那么通常应该会看到IP地址，如果它来自本地计算机，则会看到127.0.0.1。

在Windows中，没有任何选项可以启用或禁用IP地址的日志记录，至少据我所知是这样的。因此，没有真正的日志记录“级别”。您可以启用日志记录类别，也可以不启用。唯一可以配置的是是否记录审计失败和/或审计成功事件(请参阅本文：http://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing-changes-in-windows-2008.aspx)。

顺便说一句，有很多免费的产品监视事件日志(例如，我们开发了EventSentry )，通常使用它比编写自己的要容易得多(当然，除非您将其作为练习:-)。

希望这能有所帮助。