Получить события с кодом 4625 и отправить уведомление админу

Всем привет!

Хочу написать службу для Win Server которая будет читать все события с кодом 4625

и если таковые имеются и скажем их несколько шт с одного IP либо IP вообще не передан тогда служба должна слать сообщение администратору о том что такой то сервер пытаются брутить

в общем вопрос касаемо отправки сообщения и т.д. отпадает это не сложно


сложно для меня понять как получить на C# эти события не подскажете ссылку или что использовать?

Добавлено через 6 минут
Не предлогайте защиту от брута, или ВПН

ВПН я вообще не сторонник его

что касаемо защиты от брута у меня все это реализовано на микротиках

просто хочу дополнительно обезопасить себя дело в том что часто на всех клиентов не хватает микротика а сервер нужно развернуть еще вчера )

следовательно пока я не приобрету новый микротик я ставлю сервер перед ним и меняю стандартный порт а после уже когда микротик приходит настраиваю его и подрубаю и так у меня очень часто бывает!

отсюда вывод для таких серверов мне нужно что бы они мне слали сообщения о том что их пытаются ломануть!

0

.. зачем изобретать велосипед, даже с моторчиком, если есть стандартные средства? ... зайдите в Администрирование - Просмотр событий - Журнал Безопасность - правой кнопкой на событии 4625 - Привязать задачу к событию - далее по тексту ...

0

Сообщение от carrotik .. зачем изобретать велосипед, даже с моторчиком, если есть стандартные средства? ... зайдите в Администрирование - Просмотр событий - Журнал Безопасность - правой кнопкой на событии 4625 - Привязать задачу к событию - далее по тексту ...

так оно же на каждое событие будет отрабатывать не?

а мне необходимо что бы если имеется несколько тогда это подозрительно а вот когда юзер неверно ввел пароль тогда зачем мне ти данные лишний раз отвлекаться?

0

..ну, подозрительно, и что делать будете? .... можно повесить vbscript мониторящий, и проверять частоту сообщений .. но я не пойму - каким образом можно бороться с попытками взлома чтением писем? ..защиту надо ставить, фаервол ...

0

Сообщение от carrotik ..ну, подозрительно, и что делать будете? .... можно повесить vbscript мониторящий, и проверять частоту сообщений .. но я не пойму - каким образом можно бороться с попытками взлома чтением писем? ..защиту надо ставить, фаервол ...

защита стоит но я бы хотел получить сообщение вовремя если кто то пробъется через защиту и начне брутить сервер!

0

Sanya2019,
.. ну привяжите к событию в журнале простой скрипт (хотите, консольку на C#), который будет писать в папку текстовый файл с датой- временем события, и повесьте на папку или FileSystemWatcher, или vbs-аналог, и как только количество файлов (т.е. событий неуспеха логина) превысит стопятьсот - отправить письмо "Админ, фсё пропало!" ... В общем, это задача для ветки "Администрирование Windows", а не "Программирование" ....

0

Сообщение от carrotik .. ну привяжите к событию в журнале простой скрипт (хотите, консольку на C#), который будет писать в папку текстовый файл с датой- временем события, и повесьте на папку или FileSystemWatcher, или vbs-аналог, и как только количество файлов (т.е. событий неуспеха логина) превысит стопятьсот - отправить письмо "Админ, фсё пропало!" ... В общем, это задача для ветки "Администрирование Windows", а не "Программирование" ....

Да спасибо! так и сделал )

написал программку без интерфейса которую запускаю при каждом неудачном входе далее это программка записывает в свой лог IP и другие данные

далее проверяет если айпи передан и если это уже третий раз за один час то отослать сообщение мне

если айпи вообще не передан сразу отправляет мне соощение

еще раз спасибо за намек ))))

0