Sto agganciando il registro eventi di sicurezza con la classe System.Diagnostics.Eventing.Reader.EventLogWatcher e sto guardando ID evento 4625 su una casella del server 2008, per accessi non riusciti in entrata (RDP, in particolare).Registrazione eventi IP Address non sempre risolve
L'acquisizione del registro funziona correttamente e sto eseguendo il dumping dei risultati in una coda per l'elaborazione successiva e correlata. Tuttavia, a volte i registri catturati hanno il campo dati IPAddress pieno (risolto) e talvolta no.
Ho eseguito windump mentre guardavo il server, provando i miei soliti login RDP da server e sistemi operativi diversi, e l'unica conclusione a cui posso arrivare è un problema di differenza di versione e non una cattiva programmazione. Anche se potrei sbagliarmi, LOL.
Il problema è nei registri eventi stessi riguardo a queste connessioni. Tutti gli accessi RDP non riusciti vengono registrati e vengono elaborati correttamente, ma alcuni registri semplicemente non registrano l'indirizzo IP di origine della connessione non riuscita.
Qualche novità di mstsc causa in qualche modo un registro eventi remoto a NON registrare l'indirizzo IP di origine? Questo sembra essere vero per qualsiasi altro server 2008 che corro contro questo server agganciato. Qualsiasi macchina 2003 o XP che ho provato finora è registrata correttamente.
Se hai bisogno di ulteriori informazioni, fammi sapere. Grazie COSÌ!
EDIT
Ho bisogno di fare qualcosa di pazzo - come implementare SharpPcap e correlare gli IP a eventlogs in quel modo? = /. Può essere interrogato forse (non è l'unica cosa che in genere scrive nel registro di sicurezza)?
È possibile ottenere più risposte alla tua ultima domanda su http://serverfault.com/ – adrianbanks
Grazie, collegherò il mio acct. e prova che – asteroid
http://serverfault.com/questions/84749/event-logging-ipaddress-does-not-always-resolve – asteroid