我问了一个相关的问题windows-server-wail2ban
我正在尝试将Wail2Ban用于Windows Server 2012.如上面的问题所述,日志似乎没有采用IP,因此如果没有此信息,则Wail2Ban无法禁止主机。通过一些更改,我可以记录IP但无法访问共享文件夹。
评论者给了我以下链接Event 4625 no Source,因此似乎存在用于失败的RDP身份验证的辅助日志文件,并且此事件具有IP。因此,我可以删除所做的更改,而是使用此日志,同时保持对共享文件夹的访问。
我遇到的下一个问题是显然无法将Register-WMIEvent与应用程序和服务日志一起使用。我有多么好,发现一些帖子显示了解决方法。Accessing Extended Logs。
我已按照上述内容添加了Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational的相关密钥,现在使用Get-EventLog -list时,我看到输出中包含的Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational在进行注册表更改之前并非如此。
在我更多PHP之前,我还没有真正触及Windows / Powershell,但我可以掌握一些代码概念。看看wail2ban powershell代码,我看到了
$SinkName = "LoginAttempt"
$query = "SELECT * FROM __instanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode= <> 4625"
然后我看到了
Register-WMIEvent -Query $query -sourceidentifier $SinkName
do {
$new_event = wait-event -sourceidentifier $SinkName
我能够在powershell窗口中看到输出,但我从未看到它从应用程序和安全日志中找到事件140.
任何人都可以建议我如何利用当前代码或至少最小的修改来利用这些日志。我有一种感觉,如果我知道TargetInstance和-sourceidentifier我可以解决这个问题。
答案 0 :(得分:0)
我的绝大多数问题都包含了实现此问题所需的步骤,但是我已经在我的相关问题windows-server-wail2ban上回答了这个问题,所以我只会做一个链接而不是重复。
似乎我的问题很可能是在注册表更改后我需要重新启动。