Windows 2012 --如何获取试图使用RDS连接的IP的用户名/密码？

Question

我是服务器管理员的新手，所以如果这是一个非常基本的问题，我很抱歉。

当我在查看服务器的事件日志时，我注意到在“应用程序和服务日志”> Microsoft > Windows > RemoteDesktopServices-RdpCoreTS‘分支下，一个警告流。在打开时，一些警告显示以下消息：

A connection from the client computer with an IP address of xx.xx.xx.xx failed because 
the user name or password is not correct.

此警告多次出现在不属于任何受信任的远程站点的各种IP地址中。我已经发现了8-10个I，大多来自欧洲互联网服务提供商瑞典/波兰/荷兰等。我不确定我们是否受到某种攻击。我的问题是：

1. 如何找到有关此事件和IP的进一步信息。也就是说，事件日志中显示的ip地址使用的用户名/密码组合是什么。
2. 上面提到的事件日志仅显示今早的日志。如何在同一分支下找到较旧的日志？

Answer 1

你找不到用户名和密码-所有存储的都是成功或失败。

如果你对互联网开放了RDP，希望能看到很多这样的东西。坏蛋们不断地搜索和锤击这样的服务器。最终，他们中的一个可能会幸运地猜出某人的密码。

若要查看所有这些记录，请按您感兴趣的记录的事件id进行筛选。大多数日志在开始删除旧记录之前只存储一定的大小，因此它可能不会追溯到很久以前。