none
无法查询到用户登录的源IP地址 RRS feed

  • 問題


  • 无法查看到用户登录的源IP地址,需要查看用户登录IP地址。除了查询SMTP日志,还有其他方法吗?

    Ex08是Exchange2016服务器 以下是安全日志:

    - System 

      - Provider 

       [ Name]  Microsoft-Windows-Security-Auditing 
       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

       EventID 4625 

       Version 0 

       Level 0 

       Task 12544 

       Opcode 0 

       Keywords 0x8010000000000000 

      - TimeCreated 

       [ SystemTime]  2021-06-22T11:40:33.211852400Z 

       EventRecordID 272539314 

      - Correlation 

       [ ActivityID]  {8C5FD78C-595D-001C-95E3-5F8C5D59D701} 

      - Execution 

       [ ProcessID]  1056 
       [ ThreadID]  11108 

       Channel Security 

       Computer ex08.xxx.xxx.com 

       Security 


    - EventData 

      SubjectUserSid S-1-5-18 
      SubjectUserName EX08$ 
      SubjectDomainName ITTEST
      SubjectLogonId 0x3e7 
      TargetUserSid S-1-0-0 
      TargetUserName user01@ittest.com 
      TargetDomainName  
      Status 0xc000006d 
      FailureReason %%2313 
      SubStatus 0xc000006a 
      LogonType 8 
      LogonProcessName Advapi  
      AuthenticationPackageName Negotiate 
      WorkstationName EX08 
      TransmittedServices - 
      LmPackageName - 
      KeyLength 0 
      ProcessId 0x2710 
      ProcessName C:\Program Files\Microsoft\Exchange Server\V15\Bin\MSExchangeFrontendTransport.exe 
      IpAddress - 
      IpPort 

                  

    2021年6月22日 11:55

解答

  • 您好,

    >通过服务能判断出用户是登录IIS吗?

    非常抱歉没有注意到您主贴中的服务为MSExchangeFrontendTransport.exe。

    此服务一般代表请求的过程发生在Frontend的接收连接器上(Client Frontend <ServerName>和Default Frontend <ServerName>),应该未涉及到IIS方面,因此确实应该通过SMTP日志来查找对应的IP。

    我尝试通过Telnet进行认证并失败后,安全日志中记录了4625事件:

    查看对应的SMTP日志(默认路径为C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive)可以看到此失败的请求:

    此外,由于SMTP日志默认只在Default Frontend <ServerName>(监听端口为25)的接收连接器上启用,如果您想要查看Client Frontend <ServerName>(监听端口为587)的接收连接器的请求,您需要先在接收连接器上开启SMTP日志。

    -----------------------------------------------

    >是否可以将用户原地址信息整合到4625日志中,例如启用某些高级的审核功能?

    根据我的了解,这方面由于涉及到Windows和Exchange服务器的设计问题,因此应该是难以实现的。

    Workaround就像您所提到的,在查看安全日志时需要结合其他方面的日志(如SMTP日志)来进行分析。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已提議為解答 Kael Yao 2021年6月25日 7:17
    • 已標示為解答 Caesar_CL 2021年6月25日 14:30
    2021年6月24日 2:01

所有回覆

  • 您好,

    如果安全日志中没有显示源IP地址的话,您可以结合IIS日志来进一步查看。

    默认的日志路径:C:\inetpub\logs\LogFiles\W3SVC1

    根据安全日志中记录4625的时间戳,您可以在IIS日志中查找到对应的请求,并查看到此请求的IP地址。

    (请注意,由于IIS日志的时间戳默认是UTC时间,因此您还需要进行时区换算)


    此外,如果您发现有新的4625事件生成,您还可以通过抓包工具(比如Wireshark)来获取此请求的源ip。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2021年6月23日 2:59
  • 您好,通过服务能判断出用户是登录IIS吗?  是否可以将用户原地址信息整合到4625日志中,例如启用某些高级的审核功能?
    2021年6月23日 13:08
  • 您好,

    >通过服务能判断出用户是登录IIS吗?

    非常抱歉没有注意到您主贴中的服务为MSExchangeFrontendTransport.exe。

    此服务一般代表请求的过程发生在Frontend的接收连接器上(Client Frontend <ServerName>和Default Frontend <ServerName>),应该未涉及到IIS方面,因此确实应该通过SMTP日志来查找对应的IP。

    我尝试通过Telnet进行认证并失败后,安全日志中记录了4625事件:

    查看对应的SMTP日志(默认路径为C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive)可以看到此失败的请求:

    此外,由于SMTP日志默认只在Default Frontend <ServerName>(监听端口为25)的接收连接器上启用,如果您想要查看Client Frontend <ServerName>(监听端口为587)的接收连接器的请求,您需要先在接收连接器上开启SMTP日志。

    -----------------------------------------------

    >是否可以将用户原地址信息整合到4625日志中,例如启用某些高级的审核功能?

    根据我的了解,这方面由于涉及到Windows和Exchange服务器的设计问题,因此应该是难以实现的。

    Workaround就像您所提到的,在查看安全日志时需要结合其他方面的日志(如SMTP日志)来进行分析。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已提議為解答 Kael Yao 2021年6月25日 7:17
    • 已標示為解答 Caesar_CL 2021年6月25日 14:30
    2021年6月24日 2:01