返回列表 发帖
522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
1 跳转到 » 倒序看帖
打印
tT
发表于 2022-5-22 09:28 | 只看该作者

[系统相关] [已解决]批处理如何记录Windows远程桌面登录失败时的IP?

本帖最后由 522235677 于 2022-5-26 14:47 编辑

需求:有一个服务器,想记录远程桌面登录失败的IP,并保存到一个文本
详述:在事件查看器当中,在事件ID为4625的事件详情中可以查到IP地址,目前来说可以根据事件来创建计划任务,但是当计划任务中不知道如何来确定是哪个事件、不知道怎么获取事件中的IP地址

求大侠指导
收藏 分享

flashercs

Rank: 6Rank: 6

帖子
1296 
积分
2307 
技术
294  
捐助
0  
注册时间
2017-3-20 
2
发表于 2022-5-22 15:34 | 只看该作者
powershell获取事件IP地址
  1. $evt=Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue

  2. if($null -ne $evt){

  3. $evt.Properties[3].Value # IP地址可能不是这个序号

  4. }
复制代码
微信:flashercs
QQ:49908356

TOP

522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
3
发表于 2022-5-23 14:03 | 只看该作者
回复 2# flashercs


    感谢大佬帮忙,但是我测试后,发现脚本只显示0

TOP

flashercs

Rank: 6Rank: 6

帖子
1296 
积分
2307 
技术
294  
捐助
0  
注册时间
2017-3-20 
4
发表于 2022-5-24 17:05 | 只看该作者
回复 3# 522235677 
  1. $evt=Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue

  2. if($null -ne $evt){

  3. $evt.Properties

  4. }
复制代码
微信:flashercs
QQ:49908356

TOP

522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
5
发表于 2022-5-25 21:19 | 只看该作者
回复 4# flashercs


    非常感谢大佬的帮助,可以看到IP地址了
还要再请教一下,这个怎么只匹配出ip地址,然后执行一下curl,把这个ip提交
curl http://test.com?ip=%ip%
肯定大佬赐教

TOP

flashercs

Rank: 6Rank: 6

帖子
1296 
积分
2307 
技术
294  
捐助
0  
注册时间
2017-3-20 
6
发表于 2022-5-25 22:31 | 只看该作者
回复 5# 522235677 
  1. $evt=Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue

  2. if($null -ne $evt){

  3. $ip=$evt.Properties[19].Value

  4. curl.exe http://test.com?ip=$ip

  5. }
复制代码
1

评分人数

微信:flashercs
QQ:49908356

TOP

522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
7
发表于 2022-5-26 14:46 | 只看该作者
回复 6# flashercs


    感谢大佬帮助,运行成功

TOP

522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
8
发表于 2022-5-30 14:20 | 只看该作者
回复 2# flashercs


    大佬
Event[System[EventID=4624 and TimeCreated[timediff(@SystemTime)<=600000]]]

这个我想再加个判断 EventData[LogonType=10],我尝试了很多次都失败了,望指导~

TOP

flashercs

Rank: 6Rank: 6

帖子
1296 
积分
2307 
技术
294  
捐助
0  
注册时间
2017-3-20 
9
发表于 2022-5-30 15:02 | 只看该作者
回复 8# 522235677 
  1. "Event[System[EventID=4624 and TimeCreated[timediff(@SystemTime)<=600000]] and EventData[Data[@Name='LogonType']=10]]"
复制代码
微信:flashercs
QQ:49908356

TOP

522235677

Rank: 6Rank: 6

帖子
695 
积分
1692 
技术
61  
捐助
20  
注册时间
2011-3-31 
10
发表于 2022-5-30 15:07 | 只看该作者
回复 9# flashercs


    大佬威武,向大佬学习

TOP

返回列表