Login's zählen und anschließend die EvenLogs löschen

[FireBaier 10]

Hallo,

ich bin neu hier und dazu auch noch absoluter Anfänger in Sachen Powershell. Ich habe ein Script das die erfolgreichen und fehlgeschlagenen Login's auflistet und das anschließend in eine Datei ausgibt. Soweit so gut...

 

Jetzt zu meinem Problem. Das Script soll jetzt noch zählen wie oft hintereinander jemand versucht sich anzumelden, anschließend soll es den Eventlog löschen und in eine Datei geschrieben werden.

Ziel ist es zu sehen wenn beispielsweise ein Angriff von aussen stattfindet ( angenommen ein Hacker versucht sich ein zu hacken... 4 Versuche der selben IP oder Benutzernamen gehen schief und einer geht dann gut und genau das soll hervorgehoben werden) und damit ich nicht immer ne rießige Logdatei auslesen muss soll nach aufrufen und ababrebiten des Scriptes die EventLog gelöscht werden und in eine Datei ausgegeben werden. Am Besten wäre es wenn die Datei automatisch Datum und Uhrzeit des aktuellen Tages in den Dateinamen einbaut.

 

Hier mein bisheriges Werk.

$Evenlog = Get-EventLog Security | where {$_.eventid -eq 4624 -or $eventid -eq 4625} | fl | out-string -stream | Select-string "TimeWritten","Message","Account Name","Process Name","Workstation Name","Source Network Address" > Eventlog.txt

Wie Mache ich das? :confused:

[mamamia 13]

Aaaaaaalso,

 

• in welchem Event steht denn der nicht erfolgreiche Anmeldeversuch?
  
• Löschen würde ich die Events nicht, eher Archivieren, falls du noch was gucken musst
  
• wie willst du die Events gruppieren, welche Events gehören zusammen zu einem Anmeldeversuch?
  

 

Alles in allem ist die PS hier nicht die richtige Lösung.

[Dukel 439]

Aaaaaaalso,

[...]

 

Alles in allem ist die PS hier nicht die richtige Lösung.

 

Wieso nicht? Und was ist dann die richtige Lösung?

[mamamia 13]

Naja er möchte benachrichtigt werden, wenn ein Angriffsversuch stattfindet. Man müsste also die PS als Task laufen lassen und das ständig.

Zudem wissen wir nicht, um wie viele Server / Clients es sich handelt.

 

Es fehlen ein bisschen die Informationen. Daher meine Tendenz!

[Dukel 439]

Ahhh. Das mit dem Informieren habe ich wohl überlesen.

 

Dann ist das die richtige Aufgabe für ein Monitoringsystem.

[FireBaier 10]

also danke erstmal für die bisherigen Antworten.

Nun wieder zum Problem... ich brauche keine Adhoc Meldung. Es muss nur ersichtlich sein das sich beispielsweise der User "Peter" versucht hat anzumelden aber es ihm 3 mal nicht gelang und beimn 4. mal hats dann doch geklappt. Falls irgendwer es ohne Benutzernamen versucht sollte das anhand er IP nachvollzogen werden können.

 

Das der (oder die ?) Eventlog dann gelöscht werden soll und nur noch in der beschriebenen Datei bleiben sollte ist so gewollt. Soll wohl in kürzeren Abständen abgerufen werden...

 

Vielleicht hat ja jemand eine Idee wie genau man das realisieren kann.

[Dukel 439]

Und wozu?

[mamamia 13]

Was für Systeme sollen denn hier getrackt werden?

[FireBaier 10]

Moin moin,

@ Dukel: Um eine bessere überwachung zu haben. Ca. 75% aller Angriffe auf ein Netzwerk kommen von Innen und das soll damit überwacht bzw. "sichtbar" gemacht werden.

 

@ mamamia: Also von Win XP bis Win 7 ist alles dabei.

[NorbertFe 1.845]

Und so eine "ÜBerwachung" bastelt man sich dann mal per Batchscript? ;) Ich tendiere wie die Vorredner zu einem entsprechenden Monitoringsystem.

 

Bye

Norbert