全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码
查看: 288|回复: 2

[疑问] Windows的IPBan无法获取VNC登录日志

[复制链接]
发表于 2021-3-18 16:26:42 | 显示全部楼层 |阅读模式
本帖最后由 nako 于 2021-3-18 18:01 编辑

VNC版本6.3.2
Windows LTSC
https://github.com/DigitalRuby/IPBan

默认配置文件内容节选是:
  1.       <!-- This group will notify login successes from VNC to Windows -->
  2.       <Group>
  3.         <Source>VNC</Source>
  4.         <Keywords>0x80000000000000</Keywords>
  5.         <Path>Application</Path>
  6.         <Expressions>
  7.           <Expression>
  8.             <XPath>//EventID</XPath>
  9.             <Regex>^257$</Regex>
  10.           </Expression>
  11.           <Expression>
  12.             <XPath>//Data</XPath>
  13.             <Regex>
  14.               <![CDATA[
  15.                 Authentication\spassed\sby\s(?<ipaddress>.+)
  16.               ]]>
  17.             </Regex>
  18.           </Expression>
  19.         </Expressions>
  20.       </Group>
复制代码


默认配置不成功后我根据事件查看器更改了下ID和匹配内容
  1.       <!-- This group will notify login successes from VNC to Windows -->
  2.       <Group>
  3.         <Source>VNC</Source>
  4.         <Keywords>0x80000000000000</Keywords>
  5.         <Path>Application</Path>
  6.         <Expressions>
  7.           <Expression>
  8.             <XPath>//EventID</XPath>
  9.             <Regex>^256$</Regex>
  10.           </Expression>
  11.           <Expression>
  12.             <XPath>//Data</XPath>
  13.             <Regex>
  14.               <![CDATA[
  15.                 Connections
  16.               ]]>
  17.             </Regex>
  18.           </Expression>
  19.         </Expressions>
  20.       </Group>
复制代码


匹配内容还尝试过(Connections)或者Connections或者authenticated.*什么的,尝试连接VNC,IPBan日志还是没反应,求助大家,谢谢。


以下是Windows日志里的事件查看器内容:(下段xml复制粘贴后缩进有问题

  1. - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  2. - <System>
  3.   <Provider Name="VNC Server" />
  4.   <EventID Qualifiers="0">256</EventID>
  5.   <Level>4</Level>
  6.   <Task>1</Task>
  7.   <Keywords>0x80000000000000</Keywords>
  8.   <TimeCreated SystemTime="2021-03-18T08:17:26.387985300Z" />
  9.   <EventRecordID>36464</EventRecordID>
  10.   <Channel>Application</Channel>
  11.   <Computer>abcde</Computer>
  12.   <Security />
  13.   </System>
  14. - <EventData>
  15.   <Data>Connections</Data>
  16.   <Data>authenticated: 192.168.2.25::12811, as (anonymous) (d permissions)</Data>
  17.   </EventData>
  18.   </Event>
复制代码
 楼主| 发表于 2021-3-18 18:01:21 | 显示全部楼层
很少人用这个吗
 楼主| 发表于 2021-3-19 20:56:27 | 显示全部楼层
解决方案:调节VNC失败黑名单及黑名单超时时间
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2021-10-23 14:50 , Processed in 0.058426 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表