Windows Server 2012 - Как получить имя пользователя / пароль IP-адреса, который пытается подключиться с помощью RDS?

Я новичок в администрировании сервера, поэтому приношу свои извинения, если это очень простой вопрос.

Я просматривал журнал событий своего сервера, когда заметил в ветке «Журналы приложений и служб> Microsoft> Windows> RemoteDesktopServices-RdpCoreTS» поток предупреждений. При открытии некоторых предупреждений отображается следующее сообщение:

A connection from the client computer with an IP address of xx.xx.xx.xx failed because 
the user name or password is not correct.

Это предупреждение появляется несколько раз с разных IP-адресов, которые не принадлежат ни одному из наших доверенных удаленных сайтов. Я уже нашел 8-10 IP-адресов, в основном от европейских интернет-провайдеров Швеции / Польши / Нидерландов и т. Д. Я не уверен, что мы подвергаемся какой-либо атаке. Мои вопросы:

Как я могу найти дополнительную информацию об этом мероприятии и IP. Т.е. какая комбинация имени пользователя и пароля использовалась для IP-адреса, указанного в журнале событий.
В вышеупомянутом журнале событий показаны журналы только с сегодняшнего утра. Как найти старые журналы в той же ветке?

Вы не можете найти имя пользователя и пароль - все, что сохраняется, это успех или неудача.

Если у вас есть RDP, открытый для Интернета, ожидайте увидеть их МНОГО. Плохие парни постоянно ищут и удаляют такие серверы. В конце концов, кому-то из них может повезти и он угадывает чей-то пароль.

Чтобы увидеть их все, отфильтруйте по идентификатору события интересующие вас записи. Большинство журналов хранят только определенный размер, прежде чем они начнут удалять старые записи, поэтому он может не возвращаться очень далеко.