Discussion :

[Zipper963]

Salut à tous!

J'essaie de récupérer les adresses IP de ceux qui échouent une ouverture de session d’un compte Windows.

Par exemple,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gwmi -query "Select * from Win32_NTLogEvent Where Logfile = 'Security' and category = 12544 and eventcode = 4625"

Ici, j'obtiens un paquet d'information dont l'adresse IP. J'aimerais seulement obtenir l'adresse IP et le mettre dans un fichier texte.

J'ai essayé un de faire un truc du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select-string -pattern "Adresse du réseau source:\t(\d+\.\d+\.\d+\.\d+)" | export-csv E:\fichier.txt

Mais, ça ne fonctionne pas. Il ne doit pas manquer grand chose...

Merci de votre aide.

[suchiwa]

Salut à tous!

J'essaie de récupérer les adresses IP de ceux qui échouent une ouverture de session d’un compte Windows.

Par exemple,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gwmi -query "Select * from Win32_NTLogEvent Where Logfile = 'Security' and category = 12544 and eventcode = 4625"

Ici, j'obtiens un paquet d'information dont l'adresse IP. J'aimerais seulement obtenir l'adresse IP et le mettre dans un fichier texte.

J'ai essayé un de faire un truc du genre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select-string -pattern "Adresse du réseau source:\t(\d+\.\d+\.\d+\.\d+)" | export-csv E:\fichier.txt

Mais, ça ne fonctionne pas. Il ne doit pas manquer grand chose...

Merci de votre aide.

Bonjour Zipper,

Je pense qu'un pipe de ta sortie, peut te permettre de filtrer ce que tu veux, suivant cet exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$a = gwmi -query "Select * from Win32_NTLogEvent Where Logfile = 'Security' and eventcode = 4625"
$a | % {$_.message}

Tu auras uniquement le contenu du message.

Maintenant je n'ai pas réussi à extraire comme toi le ligne que tu voulais.
L'une des raisons peut etre dû au fait que le message est vu comme une seule ligne et non comme une imbrication d'informations ( un tableau d'information ).

J'ai utilisé le regex suivant, basé sur le tient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

[regex]$ip = "^(\d+\.\d+\.\d+\.\d+)$"

Quand je fais un second pipe avec le filtre where-object {...} , je n'ai aucun retour, pas même une erreur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$a | foreach-object {$_.message} | where-object {$_ -contains "$ip"}
$a | foreach-object {$_.message} | where-object {$_ -match "$ip"}
$a | foreach-object {$_.message} | where-object {$_ -like "$ip"}
[...]

Donc la commande est bonne, mais ne renvoie rien, car soit on prend le bloc du message en entier, soit c'est un retour $false ,et donc n'affiche rien, c'est ce que nous avons au dessus, les commandes ne "match" pas avec le "filtre" $ip.

Je voulais te demander, j'ai cherché la correspondance de ton "\t" dans ton regex, à quoi il correspond, une tabulation ?

Coridialement,
Vincent

[Zipper963]

Salut Vincent,

Tout d'abord, merci beaucoup de ton aide

Pour ce qui est du /t, je crois en effet que c'est une tabulation et c'est peut-être facultatif de l'utiliser.

J'ai pensé à une autre solution. Je pourrais peut-être extraire le contenu de message dans un fichier texte temporaire et ensuite supprimer tout sauf l'adresse IP. Je t'en redonne des nouvelles.

Merci encore.

[Laurent Dardenne]

Salut,

Pour ce qui est du /t, je crois en effet que c'est une tabulation et c'est peut-être facultatif de l'utiliser.

Vérifie ce que tu récupères comme infos, une tabulation ? Une suite d'espaces ? Sous quel encodage ?

J'ai pensé à une autre solution

Ta première approche me semble correcte, as-tu des exemples de résultats à nous communiquer ?

[Zipper963]

Rebonjour!

J'ai finalement trouvé une solution!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gwmi -query "Select * from Win32_NTLogEvent Where Logfile = 'Security' and eventcode = 4625" | foreach-object {$_.message} | select-string -pattern "(\d+\.\d+\.\d+\.\d+)" |  foreach-object {$_.Matches} | foreach-object {$_.Value} | Group-Object -Property ("length")[0].group | Where-Object {$_.count -gt 4} | foreach-object {$_.name} | select-string -pattern "(\d+\.\d+\.\d+\.\d+)" |  select-string -pattern "\w" | foreach-object {$_.line} | out-file fichier.txt

Tout ça en une ligne seulement

[Laurent Dardenne]

Tout ça en une ligne seulement

Et quelle ligne ! C'est la maintenance qui va se régaler

Ceci dit, sur mon poste elle ne renvoie rien, par contre ceci me renvoie un résultat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
gwmi -query "Select * from Win32_NTLogEvent Where Logfile = 'Security' and eventcode = 4625" |
  Where-object {$_.Message -Match "Adresse du réseau source\s*:\s*(?<AdresseIP>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"}|
  Foreach-Object {$Matches.AdresseIP}