6,850
社区成员
发帖
与我相关
我的任务
分享事件查看器中批量出现审核失败的日志。
最近,win2003系统服务器事件查看器中批量出现审核失败的日志,集中来自于局域网中的3台电脑上,检查过这3台电脑,未见中毒迹象,补丁也打完了。感觉像是在用system用户穷举登录服务器,但每次登录都失败。请问各位大神,这种情况要怎么应对呀??
...全文
请发表友善的回复…
发表回复
xiao421624 2015-06-12
- 打赏
- 举报
感谢回复。想知道对策略进行维护的具体操作方法是怎样的。楼主是新人,还请指教,谢谢。
X-i-n 2015-06-12
- 打赏
- 举报
感谢回复。想知道对策略进行维护的具体操作方法是怎样的。楼主是新人,还请指教,谢谢。[/quote]
可以参考一下这个:
Private Sub btnRead_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles btnRead.Click
Dim ComputerLogs() As Diagnostics.EventLog = EventLog.GetEventLogs
For Each aLog As Diagnostics.EventLog In ComputerLogs
If aLog.Log = "Security" Then
Dim cnt As Integer = aLog.Entries.Count, idx As Integer = 0
For Each itm As EventLogEntry In aLog.Entries
idx += 1
Me.Text = idx & "/" & cnt
If itm.InstanceId = 4625 Then
txtIPList.AppendText(itm.TimeGenerated & vbTab & itm.ReplacementStrings(5) & vbTab & itm.ReplacementStrings(19) & vbCrLf)
End If
Next
Exit For
End If
Next
Me.Text = "EventReader"
End Sub
Private Sub btnFW_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles btnFW.Click
Dim plcObj As NetFwTypeLib.INetFwPolicy2 = CreateObject("HNetCfg.FwPolicy2"), rule As NetFwTypeLib.INetFwRule
Dim CurrentProfiles As Integer = plcObj.CurrentProfileTypes()
For Each rule In plcObj.Rules
If rule.Profiles And CurrentProfiles Then
If rule.Name = "DENY_LOGIN_ATTEMPT" Then
MsgBox(rule.RemoteAddresses)
rule.RemoteAddresses &= "," & txtIPList.Text.Replace(vbCrLf, ",")
txtResult.Text = rule.RemoteAddresses.Replace(",", vbCrLf).Replace("255.255.255.255", "32")
Exit For
End If
End If
Next
End Sub
miliao1 2015-06-06
- 打赏
- 举报
什么情况才看这个查看器
X-i-n 2015-06-06
- 打赏
- 举报
防火墙建立一个策略,阻止指定IP连接本机的3389。
我给服务器写过一个监控,定时读取日志,发现连接失败的IP后登记备案,同IP登录超过5次就把IP添加到阻止策略里
X-i-n 2015-06-06
- 打赏
- 举报
加完策略需要对策略进行维护,目的不是阻止别人的登陆,而是阻止猜密码
流程是:发现有人来猜密码 -> 加入策略 -> 无法继续猜密码
xiao421624 2015-06-06
- 打赏
- 举报
感谢回复。我一般没事的时候就进去看看日志。目前为止网络倒仍然是正常的,只是这种情况明显异常,想解决掉。
xiao421624 2015-06-06
- 打赏
- 举报
感谢回复。已经建立了3389阻止策略,但好像没有其作用。不知是否还有其他可能,谢谢!
