[已解决]PowerShell记录日志内容到文本并修改防火墙IP

522235677

1. $evt=Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue
   
2. if($null -ne $evt){
   
3.     $ip = $evt.Properties[19].Value
   
4.     $username = $evt.Properties[5].Value
   
5.     $ip = curl "https://www.abc.cn/failed?ip=$($ip)&username=$($username)"
   
6.     if ($ip.StatusCode -eq 200){
   
7.         if ($ip.Content -ne ''){
   
8.             $firewallRuleDisplayName = "远程桌面黑名单"
   
9.             $newRemoteIP = $ip.Content
   
10.             Get-NetFirewallRule -DisplayName $firewallRuleDisplayName | ForEach-Object {
    
11.               $addrfilter = $_ | Get-NetFirewallAddressFilter
    
12.               $arrOldRemoteIP = $addrfilter.CimInstanceProperties['RemoteAddress'].Value
    
13.               $arrNewRemoteIP = @(
    
14.                 if ($null -ne $arrOldRemoteIP) { $arrOldRemoteIP }
    
15.                 $newRemoteIP
    
16.               ) | Sort-Object -Unique
    
17.               $_ | Set-NetFirewallRule -RemoteAddress $arrNewRemoteIP
    
18.             }
    
19.         }
    
20.     }
    
21. }

复制代码

向@flashercs大佬求助，上面的代码是之前请教后我自己给结合了一下，功能是当有远程桌面登录失败日志产生时将ip和用户名提交到一个url，如果url返回了一个IP地址，就把返回的那个IP地址加入的防火墙中。

现在想改进一下，当有事件EventID=4625发生时，记录IP、用户名、当前时间到一个文本（文本以当天时间命名，比如d:\20200823.txt），当当天记录的这个IP达到5次时就在防火墙加入阻止IP。

flashercs

1. $evt = Get-WinEvent -LogName Security -FilterXPath "Event[System[EventID=4625 and TimeCreated[timediff(@SystemTime)<=600000]]]" -MaxEvents 1 -ErrorAction SilentlyContinue
   
2. $csvfile = "d:\$(Get-Date -Format 'yyyyMMdd').txt"
   
3. $maxcount = 5
   
4. if ($null -ne $evt) {
   
5.   $ip = $evt.Properties[19].Value
   
6.   $username = $evt.Properties[5].Value
   
7.   $alpso = New-Object System.Collections.ArrayList
   
8.   if (Test-Path -LiteralPath $csvfile) {
   
9.     $null = Import-Csv -Path $csvfile -Encoding UTF8 -OutVariable alpso
   
10.   }
    
11.   $pso = 0 | Select-Object -Property @{n = 'IP'; e = { $ip } }, @{n = 'UserName'; e = { $username } }, @{n = 'Time'; e = { Get-Date } }
    
12.   $null = $alpso.Add($pso)
    
13.   $alpso | Export-Csv -Path $csvfile -Encoding UTF8 -NoTypeInformation
    
14.   if (@($alpso | Where-Object { $_.IP -eq $ip }).Count -ge $maxcount) {
    
15.     $firewallRuleDisplayName = "远程桌面黑名单"
    
16.     $newRemoteIP = $ip
    
17.     Get-NetFirewallRule -DisplayName $firewallRuleDisplayName | ForEach-Object {
    
18.       $addrfilter = $_ | Get-NetFirewallAddressFilter
    
19.       $arrOldRemoteIP = $addrfilter.CimInstanceProperties['RemoteAddress'].Value
    
20.       $arrNewRemoteIP = @(
    
21.         if ($null -ne $arrOldRemoteIP) { $arrOldRemoteIP }
    
22.         $newRemoteIP
    
23.       ) | Sort-Object -Unique
    
24.       $_ | Set-NetFirewallRule -RemoteAddress $arrNewRemoteIP
    
25.     }
    
26.   }
    
27. }

复制代码

522235677

回复 2# flashercs


    灰常感谢大佬，但是又不好意思麻烦大佬再帮忙修改一下，之前url请求的那个不需要了，麻烦剔除
请大佬喝茶

flashercs

回复 3# 522235677


    改了一下

522235677

回复 4# flashercs


    感谢大佬，测试没问题