В моем журнале событий контроллера домена я получаю сообщение об ошибке учетной записи от имени пользователя учетной записи службы.
Информация:
Security ID: DOMAIN\serviceaccount
Account Name: serviceaccount
Additional Information:
Caller Computer Name: FreeRDP
Это мне совсем не помогает. Я ищу IP-адрес, так как любой клиент может просто «сказать» мне, кто он, когда пытается войти. Есть ли подробное или текстовое ведение журнала, которое я могу проверить или реализовать, чтобы получить IP-адрес источника / назначения и т. Д.?
Журнал событий безопасности не предоставляет всю возможную информацию. Если вам нужна дополнительная информация, установите и используйте SysMon:
https://technet.microsoft.com/en-us/sysinternals/sysmon
Сетевое ведение журнала не включено по умолчанию, вам необходимо включить переключатель -n.
sysmon -accepteula –i –h sha1,sha256 –n