Przechwytuję dziennik zdarzeń Security za pomocą klasy System.Diagnostics.Eventing.Reader.EventLogWatcher i obserwuję zdarzenie o identyfikatorze 4625 w polu serwera 2008, dla przychodzących nieudanych logowań (w szczególności RDP).

Przechwytywanie dziennika działa poprawnie i wyrzucam wyniki do kolejki do pokrewnego, późniejszego przetwarzania. Czasami jednak przechwycone dzienniki mają wypełnione pole danych adresu IP (rozwiązane), a czasami nie.

Uruchomiłem windumpa podczas oglądania serwera, wypróbowałem moje zwykłe logowania RDP z różnych serwerów i odmian systemu operacyjnego, a jedyny wniosek, jaki mogę na ten temat uzyskać, to problem z różnicą wersji, a nie zły kod. Chociaż mogłem się mylić, LOL.

Problem występuje w samych dziennikach zdarzeń w odniesieniu do tych połączeń. Wszystkie nieudane logowania RDP są rejestrowane i są przetwarzane poprawnie, ale niektóre dzienniki po prostu nie rejestrują źródłowego adresu IP nieudanego połączenia.

Czy jakiś nowszy smak mstsc w jakiś sposób powoduje, że zdalny dziennik zdarzeń NIE loguje źródłowego adresu IP? Wydaje się to być prawdą w przypadku każdego innego serwera 2008, który uruchamiam na tym podłączonym serwerze. Każdy komputer z 2003 lub XP, który próbowałem do tej pory, jest poprawnie zarejestrowany.

Jeśli potrzebujesz więcej informacji, daj mi znać. Dziękuję!

EDYTOWAĆ

Czy muszę robić coś szalonego - jak zaimplementować sharpPcap i skorelować adresy IP z dziennikami zdarzeń w ten sposób? = /. Czy można zapytać lsass (czy to nie jedyna rzecz, która zwykle zapisuje w dzienniku zabezpieczeń)?