Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Скриптовые языки администрирования Windows (http://forum.oszone.net/forumdisplay.php?f=102)
-   -   отобрать пользователей по событию 4625 RemoteInteractive за определенную дату (http://forum.oszone.net/showthread.php?t=325002)

Tosha_l 18-03-2017 21:45 2720840
отобрать пользователей по событию 4625 RemoteInteractive за определенную дату
 
Добрый день, помогите пожалуйста накидать скрипт на powershell

Задача: нужно отобрать ТОП пользователей по событию 4625 RemoteInteractive (по RDP соединению) за определенную дату.
чтобы выводило имя пользователя, время, ip адрес

Tosha_l 18-03-2017 23:31 2720865
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
$Events = get-eventLog -LogName Security -Newest 10000 -after $Dateinception -before $Dateend | Where-Object { $_.EventID -eq 4625 }
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)

$Events | %{

$Data.time = $_.TimeGenerated

$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.UserName = ($message | ?{$_ -like "Пользователь:*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like "Адрес сети источника:*"} | %{$_ -replace "^.+:."})

$data

}
Такой скрипт выводит таблицу, где заполнена только первая колонка с датой, а имя пользователя и адрес остается пустым, в чем может быть дело?

Tosha_l 19-03-2017 00:13 2720875
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
$Events = get-eventLog -LogName Security -Newest 10000 -after $Dateinception -before $Dateend  | Where-Object { $_.EventID -eq 4625 }
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)

$Events | %{

$Data.time = $_.TimeGenerated

$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}

$Data.UserName = ($message | ?{$_ -like "Имя учетной записи:*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})

$data

}
теперь заполняет информацию. А как сделать чтобы вывел количество повторений по пользователям (ТОП)?

Tosha_l 19-03-2017 10:08 2720916
Столбец UserName выводит лишние знаки (при этом содержит наименование учетной записи), т.к. скрипт ищет в логе любое соответствие параметра "Имя учетной записи:*". Т.к. данный параметр повторяется несколько раз, то выводится несколько значений, в том числе не нужных. Пока не очень представляю как это поправить.

Код:
Time                                UserName                          Address                         
----                                --------                          -------                         
17.03.2017 12:04:10                {    IO$,    oadm}                                                 
16.03.2017 17:11:43                {    -,    USR1CV8}              -                               
16.03.2017 17:05:45                {    -,    USR1CV8}              -                               
16.03.2017 16:43:51                {    -,    USR1CV8}              -                               
16.03.2017 15:01:14                {    -,    USR1CV8}              -                               
15.03.2017 21:17:56                {    IO$,    oadm}                                                 
15.03.2017 21:17:17                {    IO$,    oadm}                                                 
15.03.2017 21:17:17                {    IO$,    oadm}                                                 
13.03.2017 11:52:13                {    -,    sanya}                -                               
13.03.2017 11:51:56                {    -,    sanya}                -                               
13.03.2017 11:51:51                {    -,    sanya}                -                               
08.03.2017 12:48:08                {    -,    Алексей}              192.168.0.55                     
08.03.2017 12:47:02                {    -,    Алексей}              192.168.0.55                     
08.03.2017 12:45:16                {    -,    Алексей}              192.168.0.55                     
07.03.2017 9:39:54                  {    -,    Алексей}              192.168.0.55                     
06.03.2017 9:00:14                  {    -,    itllc1}                -                               
05.03.2017 18:26:09                {    -,    USR1CV8}              -                               
05.03.2017 18:18:37                {    -,    USR1CV8}              -                               
05.03.2017 18:13:04                {    -,    USR1CV8}              -                               
05.03.2017 18:09:23                {    -,    USR1CV8}              -                               
05.03.2017 18:04:49                {    -,    USR1CV8}              -                               
05.03.2017 17:59:17                {    -,    USR1CV8}              -                               
05.03.2017 17:45:28                {    -,    USR1CV8}              -                               
03.03.2017 23:52:53                {    IO$,    администратор}                                       
03.03.2017 23:49:54                {    IO$,    администратор$p1r1t}                                 
03.03.2017 23:49:39                {    IO$,    администратор$p1r1t}

Iska 19-03-2017 10:32 2720920
Цитата:
Цитата Tosha_l
…любое соответствие параметра "Имя учетной записи:*" »
Ну, а Вам какое нужно?

Вот, например, первое:
Код:
$Data.UserName = (@(($message | ?{$_ -like "Имя учетной записи:*"}))[0] | %{$_ -replace "^.+:."} )
Тут проще всего — сколько бы ни было упоминаний, первое будет всегда.

Последнее:
Код:
$Data.UserName = (@(($message | ?{$_ -like "Имя учетной записи:*"}))[-1] | %{$_ -replace "^.+:."} )
Аналогично: сколько бы ни было — последнее всегда будет существовать (даже когда оно же одновременно и первое).

В других случаях надо смотреть, думать. Пишите, по какому принципу Вы определяете искомое из нескольких упоминаний.

Tosha_l 19-03-2017 13:41 2720949
Спасибо, последнее то что нужно.
А каким образом отсортировать список по убываю поля UserName?

Sort-Object -Property UserName куда нужно вставить?

Iska 19-03-2017 13:46 2720951
Цитата:
Цитата Tosha_l
А каким образом отсортировать список по убываю поля UserName? »
Какой список — результирующий? Так в конец и ставьте:
Код:

$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})

$data
} | Sort-Object -Property UserName -Descending
А зачем по убыванию?

Tosha_l 19-03-2017 13:56 2720955
Результирующий список, чтобы в этой таблице сортировка шла по имени пользователю. Чтобы отследить какой именно пользователь больше всего ошибается при авторизации
если поставить в конце | Sort-Object -Property UserName -Descending
вроде сортировка проходит, но почему то запиши только одного пользователя остаются:
Код:
Time                                UserName                          Address                         
----                                --------                          -------                         
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t                                             
03.03.2017 23:49:39                    администратор$p1r1t
Причем этого пользователя раньше в списке не наблюдалось.
?

Iska 19-03-2017 14:13 2720960
Tosha_l, плюньте мне в лицо, если это нынче именуется сортировкой по имени пользователя. Я-то полагал, что требуется группировка по имени пользователя с суммированием количества строк.

Код:

} | Group-Object -Property UserName | Sort-Object -Property Count -Descending

Tosha_l 19-03-2017 14:22 2720963
а откуда появился пользователь администратор$p1r1t, если раньше его было всего 2 записи с ним за этот период?
а как сделать так?
Цитата:
Цитата Iska
Я-то полагал, что требуется группировка по имени пользователя с суммированием количества строк. »
при последнем варианте результат:

Код:
Count Name                      Group                                                                   
----- ----                      -----                                                                   
  26    администратор$p1r1t  {@{Time=03.03.2017 23:49:39; UserName=    администратор$p1r1t; Address...
:(

Iska 19-03-2017 14:52 2720968
Tosha_l, покажите несколько возможных вариантов значений поля .Message у данного события в журнале (у меня нет возможности посмотреть). Покажите текстом, обернув в тэги code.

Tosha_l 19-03-2017 14:58 2720970
Цитата:
Цитата Iska
Tosha_l, покажите несколько возможных вариантов значений поля .Message у данного события в журнале (у меня нет возможности посмотреть). Покажите текстом, обернув в тэги code. »
имеется введу поля откуда я беру значение для UserName?

Iska 19-03-2017 15:07 2720974
Имеются в виду вот это:
Скрытый текст

Tosha_l 19-03-2017 15:16 2720977
Код:
Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                oadm
Код:
Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                sirius
Код:
Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                администратор$p1r1t

Iska 19-03-2017 15:42 2720980
Tosha_l, мне нужно всё содержимое поля, не частичное. Кроме того, у Вас там ещё и Address тем же макаром извлекается.

Впрочем, можете попробовать зараз:
Скрытый текст
Код:
$oStartDate  = Get-Date -Year 2017 -Month 3 -Day 1

$cEvents = Get-EventLog -LogName Security -After $oStartDate -InstanceId 4625
$oData = New-Object -TypeName 'System.Management.Automation.PSObject' -Property @{
    'Time'    = $null;
    'UserName' = $null;
    'Address'  = $null
}

$cEvents | ForEach-Object -Process {
    $oData.Time    = $_.TimeGenerated
    $oMatch = [System.Text.RegularExpressions.Regex]::Match($Message, 'Учетная запись, которой не удалось выполнить вход:\s*ИД безопасности:\s*\S*\s*Имя учетной записи:\s*(\S*)\s*Домен учетной записи:\s*(\S*)\s*[\s\S]*Сетевой адрес источника:\s*(\S*)\s*')
   
    if($oMatch.Success) {
        $oData.UserName = ($oMatch.Captures.Groups[2..1].Value) -join '\'
        $oData.Address  = $oMatch.Captures.Groups[3].Value
    }

    $oData
} | Group-Object -Property UserName | Sort-Object -Property Count -Descending

Tosha_l 19-03-2017 17:20 2721008
Скрытый текст
Код:
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+        $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
    + CategoryInfo          : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
    + FullyQualifiedErrorId : NullArray
 
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+        $oData.Address  = $oMatch.Captures.Groups[ <<<< 3].Value
    + CategoryInfo          : InvalidOperation: (3:Int32) [], RuntimeException
    + FullyQualifiedErrorId : NullArray


Скрытый текст
Код:
Учетной записи не удалось выполнить вход в систему.

Субъект:
        ИД безопасности:                система
        Имя учетной записи:                IO$
        Домен учетной записи:                SIRIUS
        Код входа:                0x3e7

Тип входа:                        11

Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                oadm
        Домен учетной записи:                SIRIUS

Сведения об ошибке:
        Причина ошибки:                Ошибка при входе.
        Состояние:                        0xc000005e
        Подсостояние:                0x0

Сведения о процессе:
        Идентификатор процесса вызывающей стороны:        0x1cfc
        Имя процесса вызывающей стороны:        C:\Windows\System32\consent.exe

Сведения о сети:
        Имя рабочей станции:        IO
        Сетевой адрес источника:        ::1
        Порт источника:                0

Сведения о проверке подлинности:
        Процесс входа:                CredPro
        Пакет проверки подлинности:        Negotiate
        Промежуточные службы:        -
        Имя пакета (только NTLM):        -
        Длина ключа:                0


Скрытый текст
Код:
Учетной записи не удалось выполнить вход в систему.

Субъект:
        ИД безопасности:                NULL SID
        Имя учетной записи:                -
        Домен учетной записи:                -
        Код входа:                0x0

Тип входа:                        3

Учетная запись, которой не удалось выполнить вход:
        ИД безопасности:                NULL SID
        Имя учетной записи:                itllc1
        Домен учетной записи:                SIRIUS

Сведения об ошибке:
        Причина ошибки:                Неизвестное имя пользователя или неверный пароль.
        Состояние:                        0xc000006d
        Подсостояние:                0xc000006a

Сведения о процессе:
        Идентификатор процесса вызывающей стороны:        0x0
        Имя процесса вызывающей стороны:        -

Сведения о сети:
        Имя рабочей станции:        BATYEV
        Сетевой адрес источника:        -
        Порт источника:                -

Сведения о проверке подлинности:
        Процесс входа:                NtLmSsp
        Пакет проверки подлинности:        NTLM
        Промежуточные службы:        -
        Имя пакета (только NTLM):        -
        Длина ключа:                0

Kazun 19-03-2017 18:04 2721032
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625;StartTime=$Dateinception;EndTime=$Dateend} |
                Select @{n = "TimeCreated";e={$_.TimeCreated}},@{n="User";e={$_.properties[5].Value}},@{n="Address";e={$_.properties[19].Value}}

Tosha_l 19-03-2017 18:34 2721048
Цитата:
Цитата Kazun
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625;StartTime=$Dateinception;EndTime=$Dateend} |
Select @{n = "TimeCreated";e={$_.TimeCreated}},@{n="User";e={$_.properties[5].Value}}, »
Код рабочий, но как сделать чтобы пользователи были в алфавитном порядке, как бы отследить ТОП неправильных по событию 4625

Kazun 19-03-2017 18:40 2721052
Код:
| group User | sort User

Tosha_l 19-03-2017 18:53 2721063
Цитата:
Цитата Kazun
Код:
| group User | sort User »
а куда вставить?

Tosha_l 20-03-2017 10:28 2721222
Всем спасибо, но может кто нибудь подскажет:
Данный код выводит результат таблицу с тремя столбцами: Time, UserName, Address

Вопрос:

Куда и что нужно вставить, чтобы сортировка в данной таблице была по алфавиту в графе UserName

Нужно для того, чтобы было видно, кто за за определенный промежуток времени больше всего попал в событие 4625

Заранее спасибо.

Tosha_l 20-03-2017 16:23 2721376
Скрытый текст
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625;StartTime=$Dateinception;EndTime=$Dateend} |
                Select @{n = "TimeCreated";e={$_.TimeCreated}},@{n="User";e={$_.properties[5].Value}},@{n="Address";e={$_.properties[19].Value}} | Sort User


Это код, который работает выполняя эту задачу.
Может кому то пригодиться.


Время: 04:44.

Время: 04:44.
© OSzone.net 2001-