Показать полную графическую версию : отобрать пользователей по событию 4625 RemoteInteractive за определенную дату
Добрый день, помогите пожалуйста накидать скрипт на powershell
Задача: нужно отобрать ТОП пользователей по событию 4625 RemoteInteractive (по RDP соединению) за определенную дату.
чтобы выводило имя пользователя, время, ip адрес
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
$Events = get-eventLog -LogName Security -Newest 10000 -after $Dateinception -before $Dateend | Where-Object { $_.EventID -eq 4625 }
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)
$Events | %{
$Data.time = $_.TimeGenerated
$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$Data.UserName = ($message | ?{$_ -like "Пользователь:*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like "Адрес сети источника:*"} | %{$_ -replace "^.+:."})
$data
}
Такой скрипт выводит таблицу, где заполнена только первая колонка с датой, а имя пользователя и адрес остается пустым, в чем может быть дело?
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
$Events = get-eventLog -LogName Security -Newest 10000 -after $Dateinception -before $Dateend | Where-Object { $_.EventID -eq 4625 }
$Data = New-Object System.Management.Automation.PSObject
$Data | Add-Member NoteProperty Time ($null)
$Data | Add-Member NoteProperty UserName ($null)
$Data | Add-Member NoteProperty Address ($null)
$Events | %{
$Data.time = $_.TimeGenerated
$message = $_.message.split("`n") | %{$_.trimstart()} | %{$_.trimend()}
$Data.UserName = ($message | ?{$_ -like "Имя учетной записи:*"} | %{$_ -replace "^.+:."} )
$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})
$data
}
теперь заполняет информацию. А как сделать чтобы вывел количество повторений по пользователям (ТОП)?
Столбец UserName выводит лишние знаки (при этом содержит наименование учетной записи), т.к. скрипт ищет в логе любое соответствие параметра "Имя учетной записи:*". Т.к. данный параметр повторяется несколько раз, то выводится несколько значений, в том числе не нужных. Пока не очень представляю как это поправить.
Time UserName Address
---- -------- -------
17.03.2017 12:04:10 { IO$, oadm}
16.03.2017 17:11:43 { -, USR1CV8} -
16.03.2017 17:05:45 { -, USR1CV8} -
16.03.2017 16:43:51 { -, USR1CV8} -
16.03.2017 15:01:14 { -, USR1CV8} -
15.03.2017 21:17:56 { IO$, oadm}
15.03.2017 21:17:17 { IO$, oadm}
15.03.2017 21:17:17 { IO$, oadm}
13.03.2017 11:52:13 { -, sanya} -
13.03.2017 11:51:56 { -, sanya} -
13.03.2017 11:51:51 { -, sanya} -
08.03.2017 12:48:08 { -, Алексей} 192.168.0.55
08.03.2017 12:47:02 { -, Алексей} 192.168.0.55
08.03.2017 12:45:16 { -, Алексей} 192.168.0.55
07.03.2017 9:39:54 { -, Алексей} 192.168.0.55
06.03.2017 9:00:14 { -, itllc1} -
05.03.2017 18:26:09 { -, USR1CV8} -
05.03.2017 18:18:37 { -, USR1CV8} -
05.03.2017 18:13:04 { -, USR1CV8} -
05.03.2017 18:09:23 { -, USR1CV8} -
05.03.2017 18:04:49 { -, USR1CV8} -
05.03.2017 17:59:17 { -, USR1CV8} -
05.03.2017 17:45:28 { -, USR1CV8} -
03.03.2017 23:52:53 { IO$, администратор}
03.03.2017 23:49:54 { IO$, администратор$p1r1t}
03.03.2017 23:49:39 { IO$, администратор$p1r1t}
…любое соответствие параметра "Имя учетной записи:*" »
Ну, а Вам какое нужно?
Вот, например, первое:
$Data.UserName = (@(($message | ?{$_ -like "Имя учетной записи:*"}))[0] | %{$_ -replace "^.+:."} )
Тут проще всего — сколько бы ни было упоминаний, первое будет всегда.
Последнее:
$Data.UserName = (@(($message | ?{$_ -like "Имя учетной записи:*"}))[-1] | %{$_ -replace "^.+:."} )
Аналогично: сколько бы ни было — последнее всегда будет существовать (даже когда оно же одновременно и первое).
В других случаях надо смотреть, думать. Пишите, по какому принципу Вы определяете искомое из нескольких упоминаний.
Спасибо, последнее то что нужно.
А каким образом отсортировать список по убываю поля UserName?
Sort-Object -Property UserName куда нужно вставить?
А каким образом отсортировать список по убываю поля UserName? »
Какой список — результирующий? Так в конец и ставьте:
…
$Data.Address = ($message | ?{$_ -like "Сетевой адрес источника:*"} | %{$_ -replace "^.+:."})
$data
} | Sort-Object -Property UserName -Descending
А зачем по убыванию?
Результирующий список, чтобы в этой таблице сортировка шла по имени пользователю. Чтобы отследить какой именно пользователь больше всего ошибается при авторизации
если поставить в конце | Sort-Object -Property UserName -Descending
вроде сортировка проходит, но почему то запиши только одного пользователя остаются:
Time UserName Address
---- -------- -------
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
03.03.2017 23:49:39 администратор$p1r1t
Причем этого пользователя раньше в списке не наблюдалось.
?
Tosha_l, плюньте мне в лицо, если это нынче именуется сортировкой по имени пользователя. Я-то полагал, что требуется группировка по имени пользователя с суммированием количества строк.
…
} | Group-Object -Property UserName | Sort-Object -Property Count -Descending
а откуда появился пользователь администратор$p1r1t, если раньше его было всего 2 записи с ним за этот период?
а как сделать так? Я-то полагал, что требуется группировка по имени пользователя с суммированием количества строк. »
при последнем варианте результат:
Count Name Group
----- ---- -----
26 администратор$p1r1t {@{Time=03.03.2017 23:49:39; UserName= администратор$p1r1t; Address...
:(
Tosha_l, покажите несколько возможных вариантов значений поля .Message у данного события в журнале (у меня нет возможности посмотреть). Покажите текстом, обернув в тэги code.
Tosha_l, покажите несколько возможных вариантов значений поля .Message у данного события в журнале (у меня нет возможности посмотреть). Покажите текстом, обернув в тэги code. »
имеется введу поля откуда я беру значение для UserName?
Имеются в виду вот это:
https://logrhythm.com/images/blog-images/Event_Properties.png
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: oadm
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: sirius
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: администратор$p1r1t
Tosha_l, мне нужно всё содержимое поля, не частичное. Кроме того, у Вас там ещё и Address тем же макаром извлекается.
Впрочем, можете попробовать зараз:
$oStartDate = Get-Date -Year 2017 -Month 3 -Day 1
$cEvents = Get-EventLog -LogName Security -After $oStartDate -InstanceId 4625
$oData = New-Object -TypeName 'System.Management.Automation.PSObject' -Property @{
'Time' = $null;
'UserName' = $null;
'Address' = $null
}
$cEvents | ForEach-Object -Process {
$oData.Time = $_.TimeGenerated
$oMatch = [System.Text.RegularExpressions.Regex]::Match($Message, 'Учетная запись, которой не удалось выполнить вход:\s*ИД безопасности:\s*\S*\s*Имя учетной записи:\s*(\S*)\s*Домен учетной записи:\s*(\S*)\s*[\s\S]*Сетевой адрес источника:\s*(\S*)\s*')
if($oMatch.Success) {
$oData.UserName = ($oMatch.Captures.Groups[2..1].Value) -join '\'
$oData.Address = $oMatch.Captures.Groups[3].Value
}
$oData
} | Group-Object -Property UserName | Sort-Object -Property Count -Descending
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:15 знак:52
+ $oData.UserName = ($oMatch.Captures.Groups[ <<<< 2..1].Value) -join '\'
+ CategoryInfo : InvalidOperation: (System.Object[]:Object[]) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Не удается индексировать в массив NULL.
C:\Users\oskin\Desktop\Аудит.ps1:16 знак:51
+ $oData.Address = $oMatch.Captures.Groups[ <<<< 3].Value
+ CategoryInfo : InvalidOperation: (3:Int32) [], RuntimeException
+ FullyQualifiedErrorId : NullArray
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: система
Имя учетной записи: IO$
Домен учетной записи: SIRIUS
Код входа: 0x3e7
Тип входа: 11
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: oadm
Домен учетной записи: SIRIUS
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xc000005e
Подсостояние: 0x0
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x1cfc
Имя процесса вызывающей стороны: C:\Windows\System32\consent.exe
Сведения о сети:
Имя рабочей станции: IO
Сетевой адрес источника: ::1
Порт источника: 0
Сведения о проверке подлинности:
Процесс входа: CredPro
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Учетной записи не удалось выполнить вход в систему.
Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: itllc1
Домен учетной записи: SIRIUS
Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a
Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -
Сведения о сети:
Имя рабочей станции: BATYEV
Сетевой адрес источника: -
Порт источника: -
Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625;StartTime=$Dateinception;EndTime=$Dateend} |
Select @{n = "TimeCreated";e={$_.TimeCreated}},@{n="User";e={$_.properties[5].Value}},@{n="Address";e={$_.properties[19].Value}}
Код:
$Dateinception = get-date -year 2017 -month 3 -day 1
$Dateend = get-date -year 2017 -month 3 -day 18
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625;StartTime=$Dateinception;EndTime=$Dateend} |
Select @{n = "TimeCreated";e={$_.TimeCreated}},@{n="User";e={$_.properties[5].Value}}, »
Код рабочий, но как сделать чтобы пользователи были в алфавитном порядке, как бы отследить ТОП неправильных по событию 4625
Код:
| group User | sort User »
а куда вставить?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.