Я управляю сервером под управлением Windows Server 2008 R2, который постоянно подвергается атакам методом грубой силы через FTP. Эти неудачные попытки входа в систему отображаются в разделе «Безопасность» журналов Windows как ошибки аудита (идентификатор события 4625) с типом входа 8 (NetworkCleartext). В каждой записи журнала событий исходный сетевой адрес (т. Е. Оскорбительный IP-адрес, который следует заблокировать) никогда не указывается, однако IP-адрес указан в журналах FTP (по умолчанию расположен в C: \ inetpub \ logs \ LogFiles \ FTPSVC2 ).
Есть ли способ, чтобы оскорбительные IP-адреса, о которых явно знает журнал FTP, также отображались в журналах безопасности Windows?
В продукте нет функций, которые позволили бы делать то, что вы ищете. В этом нет смысла, но так было с тех пор, как у Microsoft был FTP-сервер в Windows.
Предыстория: я разработал служебную программу, которая блокирует IP-адреса при попытках прямого входа в систему по RDP. Меня снова и снова просили добавить функциональность FTP к этому сценарию, и поэтому я исследовал это. Невозможно получить оскорбительные IP-адреса из журнала событий.