Я перехватываю журнал событий безопасности с классом System.Diagnostics.Eventing.Reader.EventLogWatcher и наблюдаю за событием с кодом 4625 на сервере 2008 года для входящих неудачных входов (в частности, RDP).

Захват журнала работает нормально, и я помещаю результаты в очередь для последующей обработки. Однако иногда в захваченных журналах заполнено (разрешено) поле данных IPAddress, а иногда нет.

Я запустил windump, наблюдая за сервером, пробуя свои обычные RDP-логины с разных серверов и версий ОС, и я могу сделать единственный вывод, что это проблема различий в версии, а не плохое кодирование. Хотя я могу ошибаться, LOL.

Проблема в самих журналах событий в отношении этих соединений. Все неудачные входы в систему RDP регистрируются и обрабатываются правильно, но некоторые журналы просто не записывают исходный IP-адрес неудачного соединения.

Приводит ли какой-то более новый вариант mstsc к удаленному журналу событий НЕ протоколирование исходного IP-адреса? Похоже, что это верно для любого другого сервера 2008 года, который я запускаю на этом подключенном сервере. Любая машина 2003 или XP, которую яВы пробовали до сих пор правильно зарегистрирован.

Если вам нужна дополнительная информация, дайте мне знать. Спасибо ТАК!

РЕДАКТИРОВАТЬ

Нужно ли делать что-то сумасшедшее - например, использовать sharpPcap и соотносить IP-адреса с журналами событий? знак равно Можно ли спросить, может быть (неединственное, что обычно записывается в журнал безопасности)?