Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr
Cela pourra certainement être utile à d'autres, soit au niveau administration soit au niveau recherche inforensique... :)
Besoin :
2 étapes :
Voici donc les commandes :
Get-WinEvent -Path C:\temp\security.evt -Oldest |Export-Clixml seclog
avec security.evt étant le fichier journal extrait de la machine qui fait l'objet de la vérification... (ou investigation).
$seclog = Import-Clixml c:\temp\seclog.xml
PS C:\temp> $seclog | ? { $_.id -match '675' } | fl Message | findstr /i /c:"Client Address" | gro up |Sort-Object -Descending count |Select-Object -first 10
Et viola :
Count Name Group
----- ---- -----
5496 Client ... { Client Address: 10.X.Y.Z, 3406 Client ... { Client Address: 10.X.Y.Z,
2858 Client ... { Client Address: 10.X.Y.Z, 2016 Client ... { Client Address: 10.X.Y.Z,
2003 Client ... { Client Address: 10.X.Y.Z, 1677 Client ... { Client Address: 10.X.Y.Z,
1572 Client ... { Client Address: 10.X.Y.Z, 1541 Client ... { Client Address: 10.XY.Z,
1512 Client ... { Client Address: 10.X.Y.Z, 1307 Client ... { Client Address: 10.X.Y.Z,
(les X.Y.Z étant bien sûr des remplacements des valeurs réelles des IP dans la vraie vie :) )
Plus de 700 Mo de fichier XML traités en moins de 2min... cela me semble acceptable.
Je tiens à remercier mon collègue Cyrille pour son aide sur la partie formatage de sortie avec fl.