在我的域控制器事件日志中,我收到来自服务帐户用户名的帐户失败。
信息是:
Security ID: DOMAIN\serviceaccount
Account Name: serviceaccount
Additional Information:
Caller Computer Name: FreeRDP
这对我真的一点帮助都没有。我正在寻找一个 IP 地址,因为任何客户端在尝试登录时都可以“告诉”我他们是谁。是否有任何详细或基于文本的日志记录,我可以检查或实施以获取源/目标 IP 等?
安全事件日志并没有提供所有可能的信息。如果您需要更多详细信息,请安装和使用 SysMon:
https://technet.microsoft.com/en-us/sysinternals/sysmon
默认情况下未启用网络日志记录,您需要包含 -n 开关。