Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
11 avril 2014 5 11 /04 /avril /2014 12:30

Cela pourra certainement être utile à d'autres, soit au niveau administration soit au niveau recherche inforensique... :)

Besoin :

  • extraire depuis un fichier journal de sécurité (format EVT ou EVTX), les événements ayant un numéro particulier (ici, un numéro d'événement lié à un refus d'ouverture de session, sous 2003 : le 675)
  • trier sur un champ dans la zone de message de l'évènement (Ici : adresse IP de la machine cliente ayant déclenché l'événement, donc la ligne commençant par "Client Address")
  • sortir un top 10 des plus mauvais élèves.

 

2 étapes :

  1. convertir au format XML pour pouvoir travailler dessus
  2. faire l'extraction sur le numéro d'évènement, puis le tri par IP et comptage 

 

Voici donc les commandes :

  • D'abord, vers du XML :

Get-WinEvent -Path C:\temp\security.evt -Oldest |Export-Clixml seclog

avec security.evt étant le fichier journal extrait de la machine qui fait l'objet de la vérification... (ou investigation).

  • Puis on charge le XML en mémoire, avec une variable:

$seclog = Import-Clixml c:\temp\seclog.xml

 

  • Et on fait le travail d'extraction et de tri, sur l'événement numéro 675 (mais qui est donc modifiable à volonté) :

PS C:\temp> $seclog | ? { $_.id -match '675' } | fl Message | findstr /i /c:"Client Address" | gro up |Sort-Object -Descending count |Select-Object -first 10

 

Et viola :

Count  Name         Group

-----      ----               -----

5496    Client ... {    Client Address: 10.X.Y.Z, 3406 Client ... { Client Address: 10.X.Y.Z,

2858    Client ... {    Client Address: 10.X.Y.Z, 2016 Client ... { Client Address: 10.X.Y.Z,

2003    Client ... {    Client Address: 10.X.Y.Z, 1677 Client ... { Client Address: 10.X.Y.Z,

1572    Client ... {    Client Address: 10.X.Y.Z, 1541 Client ... { Client Address: 10.XY.Z,

1512    Client ... {    Client Address: 10.X.Y.Z, 1307 Client ... { Client Address: 10.X.Y.Z,

(les X.Y.Z étant bien sûr des remplacements des valeurs réelles des IP dans la vraie vie :) )

Plus de 700 Mo de fichier XML traités en moins de 2min... cela me semble acceptable.

 

Je tiens à remercier mon collègue Cyrille pour son aide sur la partie formatage de sortie avec fl.

 

 

 

 

 

Partager cet article

Repost0

commentaires