Я задал соответствующий вопрос windows-server-wail2banРегистр-WMIEvent Журналы приложений и служб (Wail2Ban)
Я пытаюсь использовать Wail2Ban с Windows Server 2012. Как указано в вопросе выше журнала, кажется, не принимать IP и поэтомуWail2Ban не может запретить хосты без этой информации. С несколькими изменениями я мог бы зарегистрировать IP-адрес, но не смог получить доступ к общей папке.
Комментирователь дал мне следующую ссылку Event 4625 no Source, поэтому, похоже, есть дополнительный файл журнала для неудачной проверки подлинности RDP, и это событие имеет IP-адрес. Поэтому я могу удалить сделанное изменение и вместо этого использовать этот журнал, сохраняя доступ к общим папкам.
Следующий выпуск, который у меня есть, заключается в том, что, по-видимому, невозможно использовать Register-WMIEvent с журналами приложений и сервисов. У меня есть howevre, нашел несколько сообщений, которые показывают обходное решение для этого. Accessing Extended Logs.
Я следовал выше и добавил соответствующую клавишу для Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational, теперь при использовании Get-EventLog -list я вижу Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational включены в выводе, не было до внесения изменений в реестр.
Я до сих пор не касался Windows/Powershell, прежде чем я больше php, но я могу понять некоторые понятия кода. Глядя на wail2ban код Powershell Я вижу
$SinkName = "LoginAttempt"
$query = "SELECT * FROM __instanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode= <> 4625"
тогда я вижу
Register-WMIEvent -Query $query -sourceidentifier $SinkName
do {
$new_event = wait-event -sourceidentifier $SinkName
Я могу увидеть выход в Powershell окна, но я никогда не видел его найти событие 140 из приложения и журналов безопасности ,
Может ли кто-нибудь сообщить, как я мог бы использовать эти журналы с текущим кодом или, по крайней мере, с минимальными изменениями. У меня есть чувство, если я знаю TargetInstance и -sourceidentifier Возможно, я смогу взломать это.