Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Скриптовые языки администрирования Windows (http://forum.oszone.net/forumdisplay.php?f=102)
-   -   Потрошение Event Viewer (http://forum.oszone.net/showthread.php?t=294733)

Elven 30-01-2015 16:29 2463906
Потрошение Event Viewer
 
Мониторинг кривых рук польЗЛОвателей или кто подставил Имярека Имярековича
В домене начали появляться случаи автоматической блокировки учетных записей из-за многократного ввода неверного пароля. Разумеется стало сильно интересно откуда ноги растут у проблемы, и была включена политика аудита Directory Service Access. Логи начали сыпаться, но в таких бешеных количествах, что стало понятно: отслеживать оные не в человецких силах.
Теперь таки задача:
1. Выпарсить из логов Event Viewer соответствующим конкретным EventID (4771) имя пользователя, IP компьютера, время попытки.
XML Event'a
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4771</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14339</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2015-01-30T12:19:51.836778400Z" />
<EventRecordID>4791008749</EventRecordID>
<Correlation />
<Execution ProcessID="632" ThreadID="2532" />
<Channel>Security</Channel>
<Computer>DC.doma.in</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">Usver</Data>
<Data Name="TargetSid">S-1-5-21-1114597676-1119302421-1926942842-6051</Data>
<Data Name="ServiceName">krbtgt/DOM</Data>
<Data Name="TicketOptions">0x40810010</Data>
<Data Name="Status">0x18</Data>
<Data Name="PreAuthType">2</Data>
<Data Name="IpAddress">::ffff:172.16.101.106</Data>
<Data Name="IpPort">52398</Data>
<Data Name="CertIssuerName" />
<Data Name="CertSerialNumber" />
<Data Name="CertThumbprint" />
</EventData>
</Event>

2. Проверить сколько было попыток с этого компьютера, этим пользователем за последние, например, 30 минут.
3. В случае превышения значения по пункту 2 отметки в, допустим, 5 попыток - записать в отдельный лог IP компьютера, имя пользователя, количество попыток. (лог будет несколько раз в день отправляться blat-ом и удаляться)

з.ы. Предпочтение я отдаю тому что лучше знаю (cmd/bat) однако не уверен что при помощи оного можно вытянуть данные из EventViewer'a. Как бы то ни было буду рад решению на любом языке.

Iska 30-01-2015 17:29 2463932
Elven, я бы посмотрел в сторону Log Parser 2.2.

iccup.platoon@vk 01-02-2015 19:04 2464834
А количество строк в xml всегда одинаковое? =)

Iska 01-02-2015 20:04 2464862
iccup.platoon@vk, приведённый xml — это одно экспортированное событие. А работать надо либо с самим журналом (желательно), либо с его архивом .evt/.evtx, как я понимаю.

Elven 02-02-2015 14:18 2465189
Iska, совершенно правильное утверждение.
Iska, смотрю в сторону LogParser широко закрытыми от ужаса глазами. Офигенная, конечно, штука, но требует в себе разобраться, так что пока ковыряюсь дальше.


Время: 04:45.

Время: 04:45.
© OSzone.net 2001-