Я хочу контролировать попытки удаленного подключения к Windows 2003 Server. Я изменил групповую политику, чтобы отображать успешные и неудачные попытки входа в систему:
>gpedit.msc
Local Computer Policy
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
Audit logon events: Success, Failure
И теперь журналы заполнены неудача такие события, как:
Logon Failure:
Reason: Unknown user name or bad password
User Name: server
...
Logon Type: 10
Logon Process: User32
Authentication Package: Negotiate
...
Source Network Address: 82.114.195.29
Пока Ошибка входа в систему события конечно интересные, я Больше увлекающийся Успешный вход в систему события - я хочу посмотреть, попал ли кто-нибудь. Значит, это еще не все Успешный вход в систему события, которые я хочу, только из зарубежных сетей.
Я хочу отфильтровать журнал событий безопасности Windows, чтобы показать:
Или для более ориентированных на программистов:
(EventType == FAILURE_AUDIT) && (SourceNetworkAddress & 0xffffff00) != 0x0a000000
Возможно?
Средство просмотра событий не позволит вам фильтровать критерии в поле «Описание», которое вам нужно, чтобы различать «локальные» сети и «чужие» сети.
Мой sshd_block сценарий можно изменить так, чтобы он делал то, что вы ищете, или вы, вероятно, могли бы что-то сколотить, используя сценарий уведомления по электронной почте журнала событий Я написал для ответа на Сбой сервера. Однако ни у одного из них нет ограничения по скорости уведомлений (что мне действительно стоит написать в свое "обильное свободное время" ...)