我多次尝试连接 Windows 10 托管的 SSH 服务器均失败。事件日志未提供有关源 IP 和其他远程网络详细信息的任何信息。如何填充此信息?计算机策略设置为记录成功和失败,但仍然未收集任何信息。
帐户登录失败。
主题:安全 ID:SYSTEM 帐户名称:DESKTOP-TEST1 帐户域:WORKGROUP 登录 ID:0x3E7
登录类型:8
登录失败的帐户:安全 ID:NULL SID 帐户名称:- 帐户域:-
故障信息:故障原因:未知用户名或密码错误。状态:0xC000006D 子状态:0xC000006A
进程信息:调用者进程 ID:0x2638 调用者进程名称:C:\Windows\System32\OpenSSH\sshd.exe
**网络信息:
Workstation Name: -
Source Network Address: -
Source Port: -**
详细的身份验证信息:登录过程:Advapi
身份验证包:协商传输服务:- 包名称(仅限 NTLM):- 密钥长度:0
Windows 事件 ID 4625 不记录源 IP 的原因是 Windows 不知道源地址。
对 Windows 进行身份验证的进程(通过明文登录 - 输入 8)是使用 sshd.exe 进程的 OpenSSH。有关 4625 的更多信息,请访问此处:https://system32.eventsentry.com/security/event/4625。
这个过程实际上接收传入的网络连接,然后将用户名和密码传递给 Windows,验证提供的凭据。
恐怕这就是 Windows 的工作方式。就像 Greg 所说的那样,您必须从 SSH 日志中获取此信息。只有 SSH 服务才会知道您想要的所有信息:
我建议您查看 OpenSSH 文档以查看日志文件的位置(应该是
C:\ProgramData\ssh\sshd_config)并将日志记录级别设置为 VERBOSE(LogLevel VERBOSE)。显然,Windows 上的 OpenSSH 有自己的事件日志(
Applications and Services Logs > OpenSSH),您可以在其中看到此信息,但我无法验证这一点,因为我从未在 Windows 上使用过 OpenSSH。