Как сделать автоматический бан адресов из eventlog?

Question

[Lokaha]

Всем доброго дня. Подскажите пожалуйста как в PS правильно выцеплять аргументы из event log виндового журнала? Заметил, что ломятся на sql сервер ко мне. выглядит вот так:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="MSSQLSERVER" /> 
  <EventID Qualifiers="49152">18456</EventID> 
  <Level>0</Level> 
  <Task>4</Task> 
  <Keywords>0x90000000000000</Keywords> 
  <TimeCreated SystemTime="2021-03-09T12:07:20.000000000Z" /> 
  <EventRecordID>5858623</EventRecordID> 
  <Channel>Application</Channel> 
  <Computer>user_or</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data>sa</Data> 
  <Data>Reason: Password did not match that for the login provided.</Data> 
  <Data>[CLIENT: 210.212.172.117]</Data> 
  <Binary>184800000E0000000800000055005300450052005F004F0052000000070000006D00610073007400650072000000</Binary> 
  </EventData>
  </Event>

По тех заданию нельзя отключать sa юзера. Хочу сделать авто бан адресов из поля client, но что-то видимо с моим скриптом не то. Подскажите куда копать? Скрипт ниже:

$Last_n_Hours = [DateTime]::Now.AddHours(-2)
$badRDPlogons = Get-EventLog -LogName 'Application' -after $Last_n_Hours -InstanceId 18456 | ?{$_.Message -match 'sa'} | Select-Object @{n='CLIENT';e={$_.ReplacementStrings[-2]} }
$getip = $badRDPlogons | group-object -property CLIENT | where {$_.Count -gt 5} | Select -property Name
$log = "C:\ps\blocked_ip.txt"
$current_ips = (Get-NetFirewallRule -DisplayName "BlockSQLBruteForce" | Get-NetFirewallAddressFilter ).RemoteAddress
foreach ($ip in $getip)
{
$current_ips += $ip.name
(Get-Date).ToString() + ' ' + $ip.name + ' IP заблокирован за ' + ($badRDPlogons | where {$_.CLIENT -eq $ip.name}).count + ' попыток за 2 часа'>> $log # запись события блокировки IP адреса в лог файл
}
Set-NetFirewallRule -DisplayName "BlockSQLBruteForce" -RemoteAddress $current_ips

буду благодарен любой помощи

Comments

[Alexey Dmitriev]

Почему SQL сервер вообще открыт наружу для всех подряд?

[Максим Гришин]

Alexey Dmitriev, а это задача для следующего спринта.

[MaxKozlov]

Я бы вообще разрешил кому надо, а остальным запретил.
Если уж кому-то надо. И занимался разрешающими правилами.
Потому что иначе, рано или поздно, в банлисте будет почти весь 0.0.0.0/0

Answer 1

[Максим Гришин]

Где конкретно косяк? IP-адреса не распознаются, или ещё что? Что вообще прилетает в "message"? Что в файле, правильные ли адреса? Проверяли ли состояние $current_ips до и после обработки следующих событий? Падают ли новые события в файл логов? Копать в отладку, вообще говоря, логируете (write-host или write-output) всё и вся, собираете лог, если запускаете скрипт через task scheduler, думаете, правите синтаксис, запускаете руками, вот это всё.

Comments

[Alexey Dmitriev]

Lokaha Достаточно его просто построчно в ISE запустить через F8 и проверить вывод каждой переменной.

[Lokaha]

Alexey Dmitriev, во отличная идея. Спасибо попробую утром.

Answer 2

[Евгений]

По вашему вопросу рекомендую использовать вместо устаревшего командлета Get-EventLog более новый его вариант Get-WinEvent, который показывает информацию в более удобном виде.
Полученные логи можно пропустить через метод конвертации XML и получить удобный доступ к распарсенному логу. Вот пример:
$Compname = "PC01" #если надо подключаться к удаленному ПК
$logs = Get-WinEvent -Computer $Compname #Далее либо -FilterXML $XMLQuery (я предпочитаю его) либо
# -FilterHashTable с условиями выборки лога) + дополнительно можно фильтрануть Where-Object
$Foreach ($Log in $Logs) {
$event = [xml]$Log.ToXml() #Конвертируем лог в XML и получаем удобный распарсенный лог
#Получаем доступ к нужным данным, в вашем случае что-то типа того:
$event.event.eventdata.data[2] #тут сами посмотрите по вашему логу к какому полю и номеру строки #обращаться и далее работаете уже с полученными данными
}

P.S. При использовании фильтра -FilterXml данные для фильтрации можно вставлять из фильтра оснастки Просмотр событий после настройки фильтра и переключении его в режим XML
$XMLQuery = @'
Сюда вставляем данные из фильтра
'@

Comments

[MaxKozlov]

Get-WinEvent, конечно, более новый, но и заметно более тормозной. особенно, при обращении к удалённым машинам.

Почти всегда получается быстрее достать события "старым" способом и отфильтровать через PS, чем новым с помощью встроенных фильтров. Особенно если надо много достать

[Евгений]

MaxKozlov, При использовании фильтра -FilterXML он работает ОЧЕНЬ быстро, как если бы вы делали фильтр на локальной машине, проверьте сами. У меня он за 30-40 секунд забирает инфу с 80-90 ПК из Security лога

[MaxKozlov]

Евгений, Я завтра сравню, я его обычно c -filterHash использую.
Но, скорее всего, он и с одного забирает 30-40 секунд. В отличие от.
Схема работы просто другая

[MaxKozlov]

Был не прав, вспылил :)

Так как у Get-EventLog нет фильтра по событиям, то он лучше только если надо весь лог шерстить. И то, только с указанием -Newest xxx, Без него он сущий тормоз, видимо потому что сортирует по времени уже после получения лога (всего)

А Get-WinEvent не показывает различий по скорости в вариантах -FilterHashtable и -FilterXml
Но самостоятельно не параллелится -ComputerName у него - строка, а не массив.

в 40-60 сек на 80 компов я не знаю как можно, секунд 10 на посещаемый сервер выходит, не быстрее. а сильно посещаемые вообще может минуту смотреть.

Ускорить получается только в 7+ с Foreach-Object -Parallel Да и то нестабильно

Answer 3

[Дмитрий]

Я уже давно юзаю cyberarms ids, бесплатно.