locked
Как получить IP адрес из задания на событие 4625 RRS feed

  • Вопрос

  • Для защиты RDP от подбора решил IP адреса добавлять в черный список на маршрутизации.

    Создал задание которое запускает test.cmd при возникновении события 4625, как из этого cmd узнать IP адрес который есть в вызвавшем событии ?

    13 марта 2012 г. 4:00

Ответы

Все ответы

  • День добрый.

    1. Есть такой продукт как SCOM.

    В нем есть возможность создавать отчеты на основании кода событи и получать информацию полей из этого события.

    Создание отчета по событиям вам ничего не мешает.

    2. Рекомендую использовать сертификаты для RDP.

    Secure RDS (Remote Desktop Services) Connections with SSL


    MCITP. Знание - не уменьшает нашей глупости.

    13 марта 2012 г. 11:05
  • В свойствах события 4625 IP-адрес можно найти в параметре eventdata\ipaddress


    13 марта 2012 г. 11:12
  • Когда я сам смотрю то IP вижу, но мне его надо получить в cmd файле который запускается в планировщике при возникновении события.

    13 марта 2012 г. 11:35
  • День добрый.

    1. Есть такой продукт как SCOM.

    В нем есть возможность создавать отчеты на основании кода событи и получать информацию полей из этого события.

    Создание отчета по событиям вам ничего не мешает.

    2. Рекомендую использовать сертификаты для RDP.

    Secure RDS (Remote Desktop Services) Connections with SSL


    MCITP. Знание - не уменьшает нашей глупости.

    1. У меня отдельно стоящий windows server 2008R2 foundation, какие SCOM ???

    2. а без домена и центра сертификации как то можно использовать сертификаты ?

    13 марта 2012 г. 11:36
  • get-eventLog -LogName Security  | Where-Object { $_.EventID -eq 4625 } | format-list

    дает все в виде текста, но как вытащить только IP ?

    если отдаю все в файл  а потом  find "Сетевой адрес источника" C:\log2.txt >> c:\log3.txt получаю все списком, но как получить сразу в powershell и список уникальных IP ?

    13 марта 2012 г. 11:57
  • текст нужно отпарсить, так как такого поля как ip в евенте нет, там есть только поле описания, которое можно разделить только отпарсив этот текст.
    13 марта 2012 г. 12:23
    Модератор
  • текст нужно отпарсить, так как такого поля как ip в евенте нет, там есть только поле описания, которое можно разделить только отпарсив этот текст.

    как это сделать из powershell ?

    ps + cmd + excel у меня получилось, но как сделать все на ps ?

    13 марта 2012 г. 12:27
  • я не гуру в PS, но там как и во всех других скриптовых язывках ищется нужны подстрока и выделяется нужное значение с помощью регулярных выражений.

    тему лучше было перевести в раздел скриптинг, там есть люди хорошо знающие PS

    13 марта 2012 г. 12:42
    Модератор
  • 2. а без домена и центра сертификации как то можно использовать сертификаты ?

    Можно использовать самоподписный сертификат или публичный. Это минимум спасет от роботов.

    RDS: RD Gateway must be configured to use an SSL certificate signed by a trusted certification authority 

    Select an Existing Certificate for Remote Desktop Gateway


    MCITP. Знание - не уменьшает нашей глупости.

    13 марта 2012 г. 12:49
  • Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625} | Foreach {
    	([xml]$_.ToXML()).Event.EventData.Data | Where {$_.Name -eq "IpAddress"} | Foreach {$_."#text"}
    	} | Sort -Unique

    • Помечено в качестве ответа dim-soft 13 марта 2012 г. 16:49
    • Снята пометка об ответе dim-soft 13 марта 2012 г. 16:50
    • Помечено в качестве ответа ILYA [ sie ] SazonovModerator 17 марта 2012 г. 16:46
    13 марта 2012 г. 16:16
  • работает :) но оно лопатит весь список, а нельзя как то получать IP в cmd вызываемом из события ?

    когда идет атака сильно долго работает.

    13 марта 2012 г. 16:50
  • http://blogs.technet.com/b/otto/archive/2007/11/09/find-the-event-that-triggered-your-task.aspx - Передайте скрипту,как из статьи значение EventRecordID,тогда будет быстрее.

    Get-WinEvent -LogName Security -FilterXPath "*[System[(EventRecordID=$eventRecordID)]]"

    • Изменено Kazun 13 марта 2012 г. 17:32
    • Помечено в качестве ответа Vinokurov Yuriy 16 марта 2012 г. 9:22
    • Снята пометка об ответе dim-soft 16 марта 2012 г. 10:07
    13 марта 2012 г. 17:23
  • По статье получилось, EventRecordID выводит, а как передать скрипту ?

    16 марта 2012 г. 10:07
  • Вот описание http://blogs.technet.com/b/wincat/archive/2011/08/25/trigger-a-powershell-script-from-a-windows-event.aspx

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа dim-soft 16 марта 2012 г. 15:20
    16 марта 2012 г. 14:33
    Модератор