Перейти к содержимому

Добро пожаловать в Russian Clan Wolf
Зарегистрируйтесь для полноценного доступа или авторизуйтесь если у вас уже есть аккаунт.
Фотография

безагентский сбор eventlog


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1
Dragonling

Dragonling
  • Mechwarrior
  • 217 сообщений

Добр*!

 

Есть задача - собирать с одной-пяти сотен серверов 2012+ и рабочих станций win7+ eventlogи для архивирования и всяко-разного парсинга. Конечная цель - разбор задач безопасности.

Ищу инструмент.

 

Ставить софт на контролируемые машины нельзя, настраивать контролируемые машины нельзя, но права на чтение логов есть.

Подписки не подходят потому, что перечень машин постоянно меняется. Их список берётся с контроллера домена, но руками ставить на контроль каждую новую машину мы задолбаемся.

Штатный бэкап логов через WMI или wevtutil подошёл бы, если бы можно было ДОзаписывать файлы или объединять их, чтобы не было сотен стомеговых файлов, различающихся на день-два.

Софт для сбора покатит только бесплатный или достаточно лёгкий, чтобы из него можно было сделать portable.

По-человечески сделать нельзя, потому что это, сука, крупная госконтора "с которой надёжно".

 

 

Скорее всего дело закончится велосипедописанием перлового или poshлого скрипта для выдёргивания записей через WMI и сброса их в xml, но вдруг кто головастый подскажет что наготовое?


Сообщение отредактировал Dragonling: 20 Декабрь 2017 - 19:16


#2
alexrazorblade

alexrazorblade
  • Star Commander
  • 2 183 сообщений

Добр*!

 

Штатный бэкап логов через WMI или wevtutil подошёл бы, если бы можно было ДОзаписывать файлы или объединять их, чтобы не было сотен стомеговых файлов, различающихся на день-два.

 

powershell или bash (на перле больше писать придется) + wmic или wevtutil с параметрами вывода начиная с такого-то времени (время пред идущего опроса если есть записи в логе и все, если лога нету) +grep +awk +sed (нужно для вычленения последней записи в пред идущем логе, из которой выдергиваем таймстамп и используем в запросе для новой порции логов) и конвейерная команда >>  если хочется в одном файле ;)

ну или множество файлов на машину, где каждый новый файл содержит логи не вошедшие в предыдущий  (это самый простой способ )


Сообщение отредактировал alexrazorblade: 21 Декабрь 2017 - 03:19

  • Dragonling это нравится

#3
Dragonling

Dragonling
  • Mechwarrior
  • 217 сообщений

О, хм, а почему я забыл, что wevtutil умеет периоды?! А wmic вообще не знал. Главный вопрос: они будут вытаскивать именно нужный диапазон, или сначала весь лог дёрнут, а из него только отфильтруют нужное.

Буду воскуривать.

Спасибо!



#4
alexrazorblade

alexrazorblade
  • Star Commander
  • 2 183 сообщений

на конечную машину только тот диапазон, что запросил (как минимум через wmi т.к язык запросов обрабатывается на сервере. если прога работает с Win32 Api то, насколько я помню, таких фильтров нету. т.е. будет тянуть все.)  :D


Сообщение отредактировал alexrazorblade: 21 Декабрь 2017 - 09:42


#5
Dragonling

Dragonling
  • Mechwarrior
  • 217 сообщений

А можно ли чем-то перегнать собранный wevtutil-ью xml в стандартный evtx? Это не критично, но было бы неплохо. С лёту не нашёл метода =(



#6
alexrazorblade

alexrazorblade
  • Star Commander
  • 2 183 сообщений

https://community.ne...rmat/ta-p/84735

для анализа xml логов есть https://www.microsof...s.aspx?id=24659


Сообщение отредактировал alexrazorblade: 21 Декабрь 2017 - 20:16

  • Dragonling это нравится


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных