Board logo

标题: [问题求助] [已解决]PowerShell记录日志内容到文本并修改防火墙IP [打印本页]
作者: 522235677    时间: 2022-8-23 22:13     标题: [已解决]PowerShell记录日志内容到文本并修改防火墙IP

本帖最后由 522235677 于 2022-8-29 22:00 编辑 
  1. $evt=Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue

  2. if($null -ne $evt){

  3.     $ip = $evt.Properties[19].Value

  4.     $username = $evt.Properties[5].Value

  5.     $ip = curl "https://www.abc.cn/failed?ip=$($ip)&username=$($username)"

  6.     if ($ip.StatusCode -eq 200){

  7.         if ($ip.Content -ne ''){

  8.             $firewallRuleDisplayName = "远程桌面黑名单"

  9.             $newRemoteIP = $ip.Content

  10.             Get-NetFirewallRule -DisplayName $firewallRuleDisplayName | ForEach-Object {

  11.               $addrfilter = $_ | Get-NetFirewallAddressFilter

  12.               $arrOldRemoteIP = $addrfilter.CimInstanceProperties['RemoteAddress'].Value

  13.               $arrNewRemoteIP = @(

  14.                 if ($null -ne $arrOldRemoteIP) { $arrOldRemoteIP }

  15.                 $newRemoteIP

  16.               ) | Sort-Object -Unique

  17.               $_ | Set-NetFirewallRule -RemoteAddress $arrNewRemoteIP

  18.             }

  19.         }

  20.     }

  21. }
复制代码
@flashercs大佬求助,上面的代码是之前请教后我自己给结合了一下,功能是当有远程桌面登录失败日志产生时将ip和用户名提交到一个url,如果url返回了一个IP地址,就把返回的那个IP地址加入的防火墙中。

现在想改进一下,当有事件EventID=4625发生时,记录IP、用户名、当前时间到一个文本(文本以当天时间命名,比如d:\20200823.txt),当当天记录的这个IP达到5次时就在防火墙加入阻止IP。
作者: flashercs    时间: 2022-8-24 08:28

本帖最后由 flashercs 于 2022-8-24 19:05 编辑 
  1. $evt = Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue

  2. $csvfile = "d:\$(Get-Date -Format 'yyyyMMdd').txt"

  3. $maxcount = 5

  4. if ($null -ne $evt) {

  5.   $ip = $evt.Properties[19].Value

  6.   $username = $evt.Properties[5].Value

  7.   $alpso = New-Object System.Collections.ArrayList

  8.   if (Test-Path -LiteralPath $csvfile) {

  9.     $null = Import-Csv -Path $csvfile -Encoding UTF8 -OutVariable alpso

  10.   }

  11.   $pso = 0 | Select-Object -Property @{n = 'IP'; e = { $ip } }, @{n = 'UserName'; e = { $username } }, @{n = 'Time'; e = { Get-Date } }

  12.   $null = $alpso.Add($pso)

  13.   $alpso | Export-Csv -Path $csvfile -Encoding UTF8 -NoTypeInformation

  14.   if (@($alpso | Where-Object { $_.IP -eq $ip }).Count -ge $maxcount) {

  15.     $firewallRuleDisplayName = "远程桌面黑名单"

  16.     $newRemoteIP = $ip

  17.     Get-NetFirewallRule -DisplayName $firewallRuleDisplayName | ForEach-Object {

  18.       $addrfilter = $_ | Get-NetFirewallAddressFilter

  19.       $arrOldRemoteIP = $addrfilter.CimInstanceProperties['RemoteAddress'].Value

  20.       $arrNewRemoteIP = @(

  21.         if ($null -ne $arrOldRemoteIP) { $arrOldRemoteIP }

  22.         $newRemoteIP

  23.       ) | Sort-Object -Unique

  24.       $_ | Set-NetFirewallRule -RemoteAddress $arrNewRemoteIP

  25.     }

  26.   }

  27. }
复制代码
作者: 522235677    时间: 2022-8-24 14:25

回复 2# flashercs


    灰常感谢大佬,但是又不好意思麻烦大佬再帮忙修改一下,之前url请求的那个不需要了,麻烦剔除
请大佬喝茶
作者: flashercs    时间: 2022-8-24 19:06

回复 3# 522235677


    改了一下
作者: 522235677    时间: 2022-8-28 21:40

回复 4# flashercs


    感谢大佬,测试没问题



欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2