Bonjour à tous    
 
j'ai mis en place un serveur 2003 IAS (RADIUS pour de connexions wifi) mais j'ai vu qu'en cas de tentatives de connexion ratée, cela crée une ligne dans le log system event.
 
Comment puis-je exploiter celà pour être averti en cas de tentative d'intrusion, brute force, etc... ?
Est-ce possible au moins ? quelle serait la meilleure façon d'être averti (mail, ...) ?
 
merci

up

il faut utiliser un outil du marché pour superviser le contenu de l'Eventlog.
Sinon tu te fais une petite usine à gaz en batch:
extraction de l'eventlog toutes les 5 mn
recherche dans cette copie de l'ID recherché
Si l'ID est trouvé alors envoi de mail
 
Pour l'extraction: outil dumpel.exe
pour l'envoi de mail: des freewares SMTP existent (sendmail.exe, mailto.exe, wmailto.exe,...)
mais attention à la gestion de la taille du fichier extrait.
Le mieux est donc de faire un dumpel.exe en choisissant directement les logs à rechercher (je me souviens plus de la syntaxe)
Bon courage

 
 
Tu dois récupérer un programme qui s'appelle dumpel.exe
Il permet de lire les observateur d'evenement.
Ensuite tu crés un batch en .bat (voir ci dessous n°1, je ne récupère que les erreurs)
Pour l'envoi auto, tu utilises blat (voir ci dessous n°2).
 
Et voila, ça marche super bien. Tous les matins (si tu programmes ça le matin) tu reçois un petit mail avec les activité (ici les erreurs) des tes observateurs.
 
n°1 à mettre dans le dossier où tu va récuperer tes logs
------------------------------------------------------------------------------------
 
dumpel -f resultat1.txt  -s \\%1 -l system -d 1 -c
dumpel -f resultat2.txt  -s \\%1 -l application -d 1 -c
dumpel -f resultat3.txt  -s \\%1 -l security -d 1 -c
 
echo ------------------------------------------------------------- >> resultat.txt
echo ---- %1 ---------------------------------------------- >> resultat.txt
 
echo -------- SYSTEMES ------------------------------------------- >> resultat.txt
type resultat1.txt | find ",1," >>resultat.txt
 
echo -------- APPLIS   ------------------------------------------- >> resultat.txt
type resultat2.txt | find ",1," >>resultat.txt
 
echo -------- SECURITE ------------------------------------------- >> resultat.txt
type resultat3.txt | find ",1," >>resultat.txt
@cls
 
--------------------------------------------------------------------------------------
 
n°2
--------------------------------------------------------------------------------------
 
c:
cd\chemin de récup des logs
del resultat*.tx? 1>nul 2>nul
 
echo Analyse Automatique de la Securite : EVENTS LOGS >> resultat.txt
 
echo. >> resultat.txt
 
for /F %%i in (serveurs.txt) DO call checkerevent2.bat %%i
 
ECHO REPLACING SEPARATORS CHARACTERS
texrep ,:\09 resultat.txt
copy resultat.tx0 resultat.txt
 
blat resultat.txt -t adresse_destinataire -s "Rapport Logs systemes serveurs"
 
---------------------------------------------------------------------------
 
Tu mets ça sur 1 serveur et tu programmes avec le planificateur de taches.
Si tu as plusieurs serveurs, crées un fichier serveurs.txt (voir dessous comment le faire).
 
avec ça tu n'aura plus a te taper tous les serveurs pour lister les events logs
 
serveurs.txt(pas son chemin UNC, juste le nom => il faut être dans le même domaine, pas besoin d'être dans le même sous-reseau)
-------------------------------
 
nom du serveur1
nom du serveur2
nom du serveur3
nom du serveur4
nom du serveur5

Il y a de la maitrise de commande DOS dans l'air

il y a de très bon tuto sur le web lol

Mince, moi qui pensait qu'on avait des experts sur ce forum
 
des experts du copié collé ?

je voulais dire qu'il y a de bon tuto pour apprendre à faire ce genre de batch

j'espérais un peu ne pas avoir à monter un tel batch, mais je vais tout le même me lancer.
 
Merci beaucoup pour vos conseils et méthodes !

je vois pas ou est le pb?!!
 
Le batch n°1 c'est des commande lié à dumpel + une simple écriture dans un fichier texte.
 
Le n°2 c'est une boucle for + des séparateurs pour que ce ne soit pas le bordel dans ton fichier texte + la reunion de t 3 log en un seul fichier.
 
a ça tu ajoutes un fichier texte ave le nom de tes serveurs.
 
Ca c'est du batch assez simple, c'est pas parcequ'il y a 2/3 commandes nouvelles.
Comparer à des sripts de lecture/ecriture/modif/comparaison de base de registre, c'est du pipi de chat lol

Je découvre le avec joie tout cela
 
je me base sur ce que tu m'as présenté et j'essaie de modifier pour récupérer ce que je veux, et j'ai une petite question :
 

 
ok, tu prends uniquement les lignes qui reportent des erreurs. Moi je voudrais les warnings également mais je ne trouve pas comment mettre les deux avec la commande "find"  

Je ne sais plus.
Fais le test en faisant une extraction:
 
dumpel -f resultat1.txt  -s \\%1 -l system -d 1 -c  
 
regarde ton fichier resultat1.txt
La commande "find" permet de rechercher une chaine de caractere (dans ce cas là)
Scrute ton fichier pour trouver ce qui correspond aux warnings

Justement, j'ai fait mon extraction, elle se passe bien, et je veux faire le tri dans le fichier pour ne prendre que les erreurs et les warnings (en provenance de IAS dans mon cas)
J'ai donc :
dumpel -f logsystem.txt -l system -d 1 -c
 
type logsystem.txt | findstr (",2,IAS," || ",3,IAS," ) >>errors_warningsIAS.txt
 
avec en italique les 2 chaines que je souhaite repérer. L'une ou l'autre, ça marche. Mais je ne trouve pas comment prendre les 2. J'ai fait des tests avec des "or" des "||" ... mais rien de ce que j'ai tenté ne marche et c'est là mon soucis

 
Essayes ça:
type logsystem.txt | findstr (",2,IAS," ) >>errors_warningsIAS.txt
type logsystem.txt | findstr (",3,IAS," ) >>errors_warningsIAS.txt
 
les séparateurs ">>" permettent d'écrire à la suite sans écraser ce qu'il y a dans le fichier.
à la suite tu auras les erreurs et les warnings. Si l'un ou l'autre est vide, ça ne devrait pas poser de pb

merci, j'avais essayé mais ça "range" les alertes par type ; tous les 2 d'abord, ensuite les 3...
je voudrais que ça reste dans l'ordre chronologique

la tu fais un test avec des "ou"(",2,IAS," || ",3,IAS," ).  
Il ne doit plus savoir ou il en est: je prend celui là ou celui ci?? lol
Essayes avec un "ET".
 
Et si ça marche pas, ben je crois qu'il va falloir se contenter de ça. C'est pas si mal que ça le tri par type, non? lol

arf
 
merci tout de même pour tes conseil
 
Je vais continuer à chercher ! Je n'abandonnerai pas si vite !