勉強備忘録　ログイン失敗ログの見方

用意するもの

• Windows VM & Linux VM　一つずつ 

• 攻撃用VM（Windows）

手順

1. 攻撃用VM上でRDPから Windows VMのIPアドレスを指定

2. 存在しないユーザネーム＆適当なパスワードでログイン

3. 失敗するエラーが出る

4. 攻撃対象のWindows VMからEvent Viewerでログを確認

Security LogにEvent ID = 4625でログが出力されている

1. 攻撃用VM上でSQL Server Management Studio (SSMS)からWindows VMのSQLサーバへアクセス

2. 存在しないユーザネーム＆適当なパスワードでログイン

3. 失敗するエラーが出る

4. 攻撃対象のWindows VMからEvent Viewerでログを確認

Application LogにEvent ID = 18456でログが出力される

1. 攻撃用VM上でPowershellからLinux VMに対して存在しないユーザ&パスワードでSSHアクセスを試みる

2. 失敗するエラーが出る

3. 攻撃対象のLinux VMからEvent Viewerでログを確認

Security Groupで全てのトラフィックを通しているので他の誰かに既にアクセスを試みられていますが、、、いったん自分の出したログは”Josh”で確認