Я хотел бы использовать Sysmon для регистрации неудачной попытки подключения TCP / IP.
Например, со следующей конфигурацией:
<NetworkConnect onmatch="include">
<DestinationPort condition="is">22</DestinationPort>
</NetworkConnect>
Я вижу успешное соединение, например
ssh user@existing.server.com
зарегистрирован как
Network connection detected (rule: NetworkConnect)
Однако, если рукопожатие не удалось, например поскольку попытка сброшена или сброшена, она не регистрируется.
Можно ли использовать Sysmon для регистрации попыток подключения TCP / IP? Если нет, то как лучше всего этого добиться?
Вы можете попробовать procmon (также из sysinternal), который регистрирует все действия процесса вашего сервера. Или вы можете установить netmonitor от Microsoft, который поможет вам увидеть сетевой трафик, связанный с вашими процессами.