Я перехватываю журнал событий безопасности с классом System.Diagnostics.Eventing.Reader.EventLogWatcher и наблюдаю за событием с кодом 4625 на сервере 2008 года для входящих неудачных входов (в частности, RDP).

Захват журнала работает нормально, и я помещаю результаты в очередь для последующей обработки. Однако иногда в захваченных журналах заполнено (разрешено) поле данных IPAddress, а иногда нет.

Я запустил windump, наблюдая за сервером, пробуя свои обычные RDP-логины с разных серверов и версий ОС, и я могу сделать единственный вывод, что это проблема различий в версии, а не плохое кодирование. Хотя я могу ошибаться, LOL.

Проблема в самих журналах событий в отношении этих соединений. Все неудачные входы в систему RDP регистрируются и обрабатываются правильно, но некоторые журналы просто не записывают исходный IP-адрес неудачного соединения.

Приводит ли какой-то более новый вариант mstsc к удаленному журналу событий НЕ протоколирование исходного IP-адреса? Похоже, что это верно для любого другого сервера 2008 года, который я запускаю на этом подключенном сервере. Любая машина 2003 или XP, которую я пробовал до сих пор, регистрируется правильно.

Если вам нужна дополнительная информация, дайте мне знать. Спасибо ТАК!

РЕДАКТИРОВАТЬ

Нужно ли делать что-то сумасшедшее - например, использовать sharpPcap и соотносить IP-адреса с журналами событий? знак равно Можно ли запросить lsass (разве это не единственное, что обычно записывает в журнал безопасности)?