FireBaier 10 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Hallo, ich bin neu hier und dazu auch noch absoluter Anfänger in Sachen Powershell. Ich habe ein Script das die erfolgreichen und fehlgeschlagenen Login's auflistet und das anschließend in eine Datei ausgibt. Soweit so gut... Jetzt zu meinem Problem. Das Script soll jetzt noch zählen wie oft hintereinander jemand versucht sich anzumelden, anschließend soll es den Eventlog löschen und in eine Datei geschrieben werden. Ziel ist es zu sehen wenn beispielsweise ein Angriff von aussen stattfindet ( angenommen ein Hacker versucht sich ein zu hacken... 4 Versuche der selben IP oder Benutzernamen gehen schief und einer geht dann gut und genau das soll hervorgehoben werden) und damit ich nicht immer ne rießige Logdatei auslesen muss soll nach aufrufen und ababrebiten des Scriptes die EventLog gelöscht werden und in eine Datei ausgegeben werden. Am Besten wäre es wenn die Datei automatisch Datum und Uhrzeit des aktuellen Tages in den Dateinamen einbaut. Hier mein bisheriges Werk. $Evenlog = Get-EventLog Security | where {$_.eventid -eq 4624 -or $eventid -eq 4625} | fl | out-string -stream | Select-string "TimeWritten","Message","Account Name","Process Name","Workstation Name","Source Network Address" > Eventlog.txt Wie Mache ich das? :confused: Zitieren Link zu diesem Kommentar
mamamia 13 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Aaaaaaalso, in welchem Event steht denn der nicht erfolgreiche Anmeldeversuch? Löschen würde ich die Events nicht, eher Archivieren, falls du noch was gucken musst wie willst du die Events gruppieren, welche Events gehören zusammen zu einem Anmeldeversuch? Alles in allem ist die PS hier nicht die richtige Lösung. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Aaaaaaalso,[...] Alles in allem ist die PS hier nicht die richtige Lösung. Wieso nicht? Und was ist dann die richtige Lösung? Zitieren Link zu diesem Kommentar
mamamia 13 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Naja er möchte benachrichtigt werden, wenn ein Angriffsversuch stattfindet. Man müsste also die PS als Task laufen lassen und das ständig. Zudem wissen wir nicht, um wie viele Server / Clients es sich handelt. Es fehlen ein bisschen die Informationen. Daher meine Tendenz! Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Ahhh. Das mit dem Informieren habe ich wohl überlesen. Dann ist das die richtige Aufgabe für ein Monitoringsystem. Zitieren Link zu diesem Kommentar
FireBaier 10 Geschrieben 12. Juli 2011 Autor Melden Teilen Geschrieben 12. Juli 2011 also danke erstmal für die bisherigen Antworten. Nun wieder zum Problem... ich brauche keine Adhoc Meldung. Es muss nur ersichtlich sein das sich beispielsweise der User "Peter" versucht hat anzumelden aber es ihm 3 mal nicht gelang und beimn 4. mal hats dann doch geklappt. Falls irgendwer es ohne Benutzernamen versucht sollte das anhand er IP nachvollzogen werden können. Das der (oder die ?) Eventlog dann gelöscht werden soll und nur noch in der beschriebenen Datei bleiben sollte ist so gewollt. Soll wohl in kürzeren Abständen abgerufen werden... Vielleicht hat ja jemand eine Idee wie genau man das realisieren kann. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Und wozu? Zitieren Link zu diesem Kommentar
mamamia 13 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Was für Systeme sollen denn hier getrackt werden? Zitieren Link zu diesem Kommentar
FireBaier 10 Geschrieben 13. Juli 2011 Autor Melden Teilen Geschrieben 13. Juli 2011 Moin moin, @ Dukel: Um eine bessere überwachung zu haben. Ca. 75% aller Angriffe auf ein Netzwerk kommen von Innen und das soll damit überwacht bzw. "sichtbar" gemacht werden. @ mamamia: Also von Win XP bis Win 7 ist alles dabei. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 13. Juli 2011 Melden Teilen Geschrieben 13. Juli 2011 Und so eine "ÜBerwachung" bastelt man sich dann mal per Batchscript? ;) Ich tendiere wie die Vorredner zu einem entsprechenden Monitoringsystem. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.