过滤事件ID 4771

154

用户名

使用Powershell，我只想为用户过滤eventID 4771的安全事件日志。不适用于客户端计算机。

我的代码为我提供了客户端计算机和用户登录尝试失败的结果。我有兴趣看到仅用户失败的登录尝试。

$ns = @{e = "http://schemas.microsoft.com/win/2004/08/events/event"}

#$Events = Get-WinEvent -FilterHashtable @{Logname = "Security" ;StartTime=(get-date).AddDays(-1); ID = 4768,4771;keywords='8010000000000000'} -ErrorAction SilentlyContinue
$Events = Get-WinEvent -FilterHashtable @{Logname = "Security" ;StartTime=(get-date).AddDays(-2); ID = 4771;keywords='8010000000000000'} -ErrorAction SilentlyContinue
$results = foreach($evt in $events)
    {
    $xml = [xml]$evt.ToXml()

    $TUserName= Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='TargetUserName']/text()" |
                       Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value
    $TargetUserName = $TUserName | Where-Object { $_ –notcontains "-AA-" -or $_ –notcontains "-BB-" -or $_ –notcontains "-CC-" -or $_ –notcontains "-DD-"}

    $Status = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='Status']/text()" |
                       Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value

    $IPAddress = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='IpAddress']/text()" |
                       Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value

    $IP = $IPAddress.Split(':')[-1]

    Switch ($Status)
        {
        "0x6"
            {
            $ReasonforLoginfailure = "Unknown user name"
            }
        "0x18"
            {
            $ReasonforLoginfailure = "Incorrect Password"
            }
        } 

    $IPPort = Select-Xml -Xml $xml -Namespace $ns -XPath "//e:Data[@Name='IpPort']/text()" |
                       Select-Object -ExpandProperty Node | Select-Object -ExpandProperty Value

    New-Object -TypeName PSObject -Property @{UserID = ($TargetUserName).Replace("$","")
                       HostName = $Hostname
                       IPAddress = $IP
                       Port = $IPPort
                       'TimeCreated in EST' = [System.TimeZoneInfo]::ConvertTimeBySystemTimeZoneId($evt.TimeCreated, [System.TimeZoneInfo]::Local.Id, 'Eastern Standard Time')
                       EventID = $evt.ID
                       Status = $Status
                       'Reason for Login failure' = $ReasonforLoginfailure
                       DomainName = $DC
                       }        
    }

Mathias R. Jessen

对于计算机帐户，该TargetUserName字段将以结尾$，因此只需对其进行过滤：

if($TargetUserName -like '*$'){
    # it's a computer
    # continue to the next event in the loop
    continue
}

本文收集自互联网，转载请注明来源。

如有侵权，请联系 [email protected] 删除。

编辑于 2021-01-6

我来说两句

0 条评论

登录后参与评论

如何按事件ID过滤CloudWatch事件

使用集合过滤事件

Kibana：今天的过滤事件

通过ByIncludingOnly过滤事件

根据组过滤多个事件

过滤掉拒绝的事件

基于 id 的过滤列表

根据条件过滤id

如何从领域过滤ID

AngularJS按ID过滤

过滤多个角色 ID

按关系的 id 过滤

按 ID 列过滤

文档事件 ID

像过滤事件一样过滤Qt信号

过滤在r中事件“ A”的时间范围内发生的事件

过滤窗口上的事件与DOM节点上的单个事件

telethon：根据事件来自的聊天类型过滤事件

角全日历指令过滤来自单个事件源的事件

过滤动作事件不准确

基于click事件的jQuery div过滤

IoTHub 事件订阅消息路由和过滤

事件的Logstash删除过滤器

在QT中安装事件过滤器

如何过滤jquery中keydown事件的列表？

在 Angular 12 中过滤 NavigationEnd 事件？

BigQuery SQL：按事件顺序过滤

HTML点事件过滤非交互元素？

使用 pandas 按组过滤最近的事件

TOP 榜单

文章

过滤事件ID 4771

过滤事件ID 4771

构建类似于Jarvis的本地语言应用程序

在 Avalonia 中是否有带有柱子的 TreeView 或类似的东西？

Qt Creator Windows 10 - “使用 jom 而不是 nmake”不起作用

SQL Server中的非确定性数据类型

使用next.js时出现服务器错误，错误：找不到react-redux上下文值；请确保组件包装在<Provider>中

Swift 2.1-对单个单元格使用UITableView

Hashchange事件侦听器在将事件处理程序附加到事件之前进行侦听

HttpClient中的角度变化检测

如何了解DFT结果

错误：找不到存根。请确保已调用spring-cloud-contract：convert

Embers js中的更改侦听器上的组合框

在Wagtail管理员中，如何禁用图像和文档的摘要项？

如何避免每次重新编译所有文件？

Java中的循环开关案例

ng升级性能注意事项

Swift中的指针替代品？

如何使用geoChoroplethChart和dc.js在Mapchart的路径上添加标签或自定义值？

使用分隔符将成对相邻的数组元素相互连接

在同一Pushwoosh应用程序上Pushwoosh多个捆绑ID

ggplot：对齐多个分面图-所有大小不同的分面

完全禁用暂停（在内核级别？-必须与使用的DE和登录状态无关！）