|
|
|
|
| Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » CMD/BAT - Потрошение Event Viewer |
|
|
CMD/BAT - Потрошение Event Viewer
|
Ветеран Сообщения: 992 |
Мониторинг кривых рук польЗЛОвателей или кто подставил Имярека Имярековича
В домене начали появляться случаи автоматической блокировки учетных записей из-за многократного ввода неверного пароля. Разумеется стало сильно интересно откуда ноги растут у проблемы, и была включена политика аудита Directory Service Access. Логи начали сыпаться, но в таких бешеных количествах, что стало понятно: отслеживать оные не в человецких силах. Теперь таки задача: 1. Выпарсить из логов Event Viewer соответствующим конкретным EventID (4771) имя пользователя, IP компьютера, время попытки. XML Event'a
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4771</EventID> <Version>0</Version> <Level>0</Level> <Task>14339</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2015-01-30T12:19:51.836778400Z" /> <EventRecordID>4791008749</EventRecordID> <Correlation /> <Execution ProcessID="632" ThreadID="2532" /> <Channel>Security</Channel> <Computer>DC.doma.in</Computer> <Security /> </System> - <EventData> <Data Name="TargetUserName">Usver</Data> <Data Name="TargetSid">S-1-5-21-1114597676-1119302421-1926942842-6051</Data> <Data Name="ServiceName">krbtgt/DOM</Data> <Data Name="TicketOptions">0x40810010</Data> <Data Name="Status">0x18</Data> <Data Name="PreAuthType">2</Data> <Data Name="IpAddress">::ffff:172.16.101.106</Data> <Data Name="IpPort">52398</Data> <Data Name="CertIssuerName" /> <Data Name="CertSerialNumber" /> <Data Name="CertThumbprint" /> </EventData> </Event> 2. Проверить сколько было попыток с этого компьютера, этим пользователем за последние, например, 30 минут. 3. В случае превышения значения по пункту 2 отметки в, допустим, 5 попыток - записать в отдельный лог IP компьютера, имя пользователя, количество попыток. (лог будет несколько раз в день отправляться blat-ом и удаляться) з.ы. Предпочтение я отдаю тому что лучше знаю (cmd/bat) однако не уверен что при помощи оного можно вытянуть данные из EventViewer'a. Как бы то ни было буду рад решению на любом языке. |
|
|
Отправлено: 16:29, 30-01-2015 |
|
Ветеран Сообщения: 27449
|
Профиль | Отправить PM | Цитировать Elven, я бы посмотрел в сторону Log Parser 2.2.
|
|
Отправлено: 17:29, 30-01-2015 | #2 |
Пользователь Сообщения: 82
|
Профиль | Сайт | Отправить PM | Цитировать А количество строк в xml всегда одинаковое?
 |
|
------- Отправлено: 19:04, 01-02-2015 | #3 |
|
Ветеран Сообщения: 27449
|
Профиль | Отправить PM | Цитировать iccup.platoon@vk, приведённый xml — это одно экспортированное событие. А работать надо либо с самим журналом (желательно), либо с его архивом .evt/.evtx, как я понимаю.
|
|
Отправлено: 20:04, 01-02-2015 | #4 |
|
Ветеран Сообщения: 992
|
Профиль | Сайт | Отправить PM | Цитировать Iska, совершенно правильное утверждение.
Iska, смотрю в сторону LogParser широко закрытыми от ужаса глазами. Офигенная, конечно, штука, но требует в себе разобраться, так что пока ковыряюсь дальше. |
|
|
Отправлено: 14:18, 02-02-2015 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| EventID - не работает event event viewer | JoKeR_777_ | Хочу все знать | 4 | 11-05-2013 15:31 | |
| Проблема с Event Viewer | SupportQS | Microsoft Windows NT/2000/2003 | 4 | 05-10-2010 09:11 | |
| [решено] Возможно ли удалить Event из Event Viewer | Dijio | Microsoft Windows NT/2000/2003 | 1 | 28-12-2009 16:03 | |
| Проблема с Event Viewer | vitaly_mal | Microsoft Windows NT/2000/2003 | 5 | 29-03-2008 18:16 | |
| Помощь по Event viewer | Guest | Microsoft Windows 2000/XP | 6 | 11-06-2004 13:44 | |
|
|
Время: 04:46. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
