Powershell监控操作系统用户账号事件并预警

最新推荐文章于 2023-11-17 14:10:07 发布
置顶 最新推荐文章于 2023-11-17 14:10:07 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: powershell 文章标签: 操作系统 powershell 邮件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iuxin/article/details/11595731
版权 
 
#
# 操作系统账号事件(登录、注销、新增、删除、软件安装)
# 主函数 Main
# @param string $str not null
# @param string $code not null
# 
# Description:
# 设置登录事件的任务计划时,必须传递这两个参数
#

#region get-serverip 获取IP
function get-serverip
{
    $serverip=gwmi win32_networkadapterconfiguration | ?{$_.IPAddress -ne $null -and $_.dhcpenabled -eq $false -and {$_.IPEnabled}} | %{$_.IPAddress}
	if(($serverip.gettype()).isarray)
	{
	    return $serverip[0]
	}
	else
	{
	    return $serverip
	}
}
#endregion

#region Send-Mail 发送邮件
function Send-Mail($Subject,$Body)
{
    $password = ConvertTo-SecureString 'password' -AsPlainText -Force
    $Credential = New-Object System.Management.Automation.PSCredential('account',$password)
    $SmptServer="mail.xx.com.cn"
    $From='a@xx.com.cn'
    $To="test@xx.com.cn"
	
	#抄送
	#$Cc="cc@xx.com.cn"
    $encode=[System.Text.UTF8Encoding]::UTF8

    Send-MailMessage -SmtpServer $SmptServer -Credential $Credential -From $From -to $To -Encoding $Encode -Body $Body -Subject $Subject -Priority High -BodyAsHtml
}
#endregion

#region cut-string 裁剪字符串
function cut-string 
{
	param(
		$str,
		$start,
		$end
	)
	return $str.substring($str.indexof($start),$str.indexof($end)-$str.indexof($start))
}
#endregion

#region get_login_user 获取登录账户
#return string
function get_login_user
{
	$users=query user

	$lists=New-Object system.Collections.ArrayList

	for($i=1;$i -lt $users.Count;$i++)
	{
		$user = $users[$i] -replace('  ',' ')
		
		while($user.indexof('  ') -gt 0)
		{
			$user = $user -replace('  ',' ')
		}
		if($user.indexof(' ') -eq 0 -or $user.indexof('>') -eq 0)
		{
			$user=$user.substring(1)
		}
		$user=$user -split(' ')
		
		$list=New-Object psobject
		#$time=$user[5]+" "+$user[6]

		Add-Member -Name name -Value $user[0] -MemberType NoteProperty -InputObject $list
		Add-Member -Name status -Value $user[3] -MemberType NoteProperty -InputObject $list
		#Add-Member -Name time -Value $time -MemberType NoteProperty -InputObject $list
		$lists +=@($list)
	}

	$loginUser = $lists | ?{$_.status -eq '运行中'} | select name
	foreach($userName in $loginUser)
	{	
		if($userNames -eq $null)
		{
			$userNames=$userName.name
		}
		else
		{
			$userNames=$userNames + ',' + $userName.name
		}
	}
	return $userNames
}
#endregion

#region Login-Succ-Notice 成功登录事件
function Login-Succ-Notice
{
	$loginInfo=Get-WinEvent -logname security -maxevents 10 | ? {$_.id -eq 4624} | select timecreated,message
	if($loginInfo -eq $null)
	{
		break
	}
	if(($loginInfo.gettype()).isarray)
	{
		$time=$loginInfo[0].timecreated
		$message=$loginInfo[0].message
	}
	else
	{
		$time=$loginInfo.timecreated
		$message=$loginInfo.message
	}
	
	if($code -eq 1)
	{
		$loginType=cut-string $message '登录类型:' '新登录:'
		$loginType=$loginType -replace('登录类型:','')
		$loginType=$loginType -replace('			','')
		if($loginType -eq 4)
		{
			break
		}
	}
	
	$processInfo=cut-string $message '进程名:' '网络信息:'
	$processInfo=$processInfo -replace('进程名:		','')
	
	$message=cut-string $message '新登录' '详细身份验证信息'
	$loginName=cut-string $message '帐户名:' '帐户域:'
	$loginName=$loginName -replace('帐户名:','')
	
	$loginIp=cut-string $message '源网络地址:' '源端口:'
	$loginIp=$loginIp -replace('源网络地址:','')
	
	$ip=get-serverip
	$loginedName=get_login_user
	$Body="<table width='700' border='1' cellpadding='0' cellspacing='0' style='font-size:13px;'>
  <tr  style='background:#39F'>
  	<td>服务器</td>
    <td>登录账号</td>
	<td>进程</td>
    <td>登录时间</td>
	<td>客户端IP</td>
    <td>已登录账号</td>
  </tr>
  <tr>
    <td>$ip</td>
    <td>$loginName</td>
	<td>$processInfo</td>
    <td>$time</td>
    <td>$loginIp</td>
	<td>$loginedName</td>
  </tr>
</table>"
	try
	{
		Send-Mail "Login on $ip" $Body
	}
	catch
	{
		ac -Path c:\UserNotice.log -Value "[ $time Login] $error[0]"
	}
}
#endregion

#region Cancel-Succ-Notice 注销登录事件
function Cancel-Succ-Notice
{
	$cancelInfo=Get-WinEvent -logname security -maxevents 10 | ? {$_.id -eq 4634} | select timecreated,message
	if($cancelInfo -eq $null)
	{
		break
	}
	if(($cancelInfo.gettype()).isarray)
	{
		$time=$cancelInfo[0].timecreated
		$message=$cancelInfo[0].message
	}
	else
	{
		$time=$cancelInfo.timecreated
		$message=$cancelInfo.message
	}
	$cancelName=cut-string $message '帐户名:' '帐户域:'
	$cancelName=$cancelName -replace('帐户名:','')
	
	$ip=get-serverip
	$loginedName=get_login_user
	$Body="<table width='700' border='1' cellpadding='0' cellspacing='0' style='font-size:13px;'>
  <tr  style='background:#39F'>
  	<td>服务器</td>
    <td>注销账号</td>
    <td>注销时间</td>
    <td>未注销账号</td>
  </tr>
  <tr>
    <td>$ip</td>
    <td>$cancelName</td>
    <td>$time</td>
	<td>$loginedName</td>
  </tr>
</table>"
	try
	{
		Send-Mail "Cancel on $ip" $Body
	}
	catch
	{
		ac -Path c:\UserNotice.log -Value "[ $time Cancel] $error[0]"
	}
}
#endregion

#region Create-User-Notice 新增账号事件
function Create-User-Notice
{
    $userinfo=Get-WinEvent -logname security -maxevents 10 | ? {$_.id -eq 4722} | select timecreated,message
	if($userinfo -eq $null)
	{
		break
	}
	if(($userinfo.gettype()).isarray)
	{
		$time=$userinfo[0].timecreated
		$message=$userinfo[0].message
	}
	else
	{
		$time=$userinfo.timecreated
		$message=$userinfo.message
	}
	$operateUser=cut-string $message '主题:' '目标帐户:'
	$operateUser=cut-string $operateUser '帐户名:' '帐户域:'
	$operateUser=$operateUser -replace('帐户名:','')
	
	$addUser=$message.substring($message.indexof('目标帐户:'))
	$addUser=cut-string $addUser '帐户名:' '帐户域:'
	$addUser=$addUser -replace('帐户名:','')
	
	$ip=get-serverip
	$loginedUser=get_login_user
	
	$Body="<table width='700' border='1' cellpadding='0' cellspacing='0' style='font-size:13px;'>
  <tr  style='background:#39F'>
  	<td>服务器</td>
    <td>操作账号</td>
    <td>被添加账号</td>
    <td>操作时间</td>
	<td>已登录账号</td>
  </tr>
  <tr>
    <td>$ip</td>
    <td>$operateUser</td>
    <td>$addUser</td>
	<td>$time</td>
	<td>$loginedUser</td>
  </tr>
</table>"
	try
	{
		Send-Mail "AddUser on $ip" $Body
	}
	catch
	{
		ac -Path c:\UserNotice.log -Value "[ $time AddUser] $error[0]"
	}
}
#endregion

#region Delete-User-Notice 删除账号事件
function Delete-User-Notice{

	$userInfo=Get-WinEvent -logname security -maxevents 10 | ? {$_.id -eq 4726} | select timecreated,message
	if($userinfo -eq $null)
	{
		break
	}
	if(($userinfo.gettype()).isarray)
	{
		$time=$userinfo[0].timecreated
		$message=$userinfo[0].message
	}
	else
	{
		$time=$userinfo.timecreated
		$message=$userinfo.message
	}
	$ip=get-serverip
	$loginedUser=get_login_user
	
	$operateUser=cut-string $message '主题:' '目标帐户:'
	$operateUser=cut-string $operateUser '帐户名:' '帐户域:'
	$operateUser=$operateUser -replace('帐户名:','')
	$delUser=$message.substring($message.indexof('目标帐户:'))
	$delUser=cut-string $delUser '帐户名:' '帐户域:'
	$delUser=$delUser -replace('帐户名:','')
	
	$Body="<table width='700' border='1' cellpadding='0' cellspacing='0' style='font-size:13px;'>
  <tr  style='background:#39F'>
  	<td>服务器</td>
    <td>操作账号</td>
    <td>被删除账号</td>
    <td>操作时间</td>
	<td>已登录账号</td>
  </tr>
  <tr>
    <td>$ip</td>
    <td>$operateUser</td>
    <td>$delUser</td>
	<td>$time</td>
	<td>$loginedUser</td>
  </tr>
</table>"
	try
	{
		Send-Mail "Delete on $ip" $Body
	}
	catch
	{
		ac -Path c:\UserNotice.log -Value "[ $time Delete] $error[0]"
	}
}
#endregion

#region Software-Setup-Notice 软件安装事件
function Software-Setup-Notice
{
	$softinfo=Get-WinEvent -logname setup -maxevents 10 | ? {$_.id -eq 1610} | select timecreated,message
	if($softinfo -eq $null)
	{
		break
	}
	if(($softinfo.gettype()).isarray)
	{
		$time=$softinfo[0].timecreated
		$time=$softinfo[0].tostring()
		$message=$softinfo[0].message
	}
	else
	{
		$time=$softinfo.timecreated
		$time=$time.tostring()
		$message=$softinfo.message
	}
	$ip=get-serverip
	$loginedUser=get_login_user
	
	$Body="<table width='700' border='1' cellpadding='0' cellspacing='0' style='font-size:13px;'>
  <tr  style='background:#39F'>
  	<td>服务器</td>
    <td>已登录账号</td>
    <td>安装时间</td>
    <td>安装信息</td>
  </tr>
  <tr>
    <td>$ip</td>
    <td>$loginedUser</td>
    <td>$time</td>
	<td>$message</td>
  </tr>
</table>"

	try
	{
		Send-Mail 'Setup on $ip' $Body
	}
	catch
	{
		ac -Path c:\UserNotice.log -Value "[ $time Setup] $error[0]"
	}
}
#endregion

#region Main 入口函数
function Main{

	param(
	$str,
	$script:code
	)
	
	if($str -eq $null)
	{
		Write-Warning 参数丢失!
		sleep 2
		break
	}
	if($str -eq 'login')
	{
		Login-Succ-Notice
	}
	if($str -eq 'cancel')
	{
		Cancel-Succ-Notice
	}
	if($str -eq 'add')
	{
		Create-User-Notice
	}
	if($str -eq 'delete')
	{
		Delete-User-Notice
	}
	if($str -eq 'setup')
	{
		Software-Setup-Notice
	}
}
#endregion

main $args[0] $args[1]

PowerShell监控——监控电脑屏幕操作记录
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
03-01 2175
目录 监控电脑屏幕? 实现思路 1、通过windows脚本,一定时间间隔进行屏幕抓拍 2、脚本通过powershell语言实现 3、powershell为windows系统自带语言,可以无缝嵌入运行 4、所有抓拍的屏幕照片,按照时间排序,可以实现比较完整的用户操作监控PowerShell简介 如何使用PowerShell 监控屏幕脚本实现 监控电脑屏幕? 如何实现对电脑屏幕及其操作的监控? 对于屏幕的监控,一般都是针对windows操作系统 因为对于大部分Linux系统,都是无
Web应用安全攻防
AI天才研究院
08-03 1260
随着互联网的普及和应用的日益扩张,网络应用越来越成为各行各业中普遍存在的现象。作为互联网世界的重要组成部分,网络安全在对抗各种攻击、防御方面发挥了越来越重要的作用。而对于网络应用的安全管理和维护,更是成为各类安全人员的必备技能。在互联网应用安全领,许多著名的黑客组织、安全公司都提供了大量的学习资料、工具和课程。然而,为了更好地掌握这些知识、工具和方法,我们应该更加关注其背后的原理、算法和技术,为我们的工作提供一个系统的、全面的和有效的解决方案。
Powershell管理系列(三十)PowerShell操作之统计邮箱的用户信息
weixin_33805743的博客
11-21 995
用户需要统计邮箱用户的具体信息,如登陆名,邮箱地址,公司名,部门等,这些信息可以通过不通的命令查询到,我们如何通过脚本把这些信息汇总到一起,命令如下: 步骤1、在powershell命令行输入如下命令 Add-PSSnapin microsoft.exchange* $user=Get-User -ResultSize unlimited -Recipi...
如何监控linux服务器上所用用户账号 历史
weixin_34247032的博客
10-19 78
监控端工具 ansible计划任务*/10 * * * * /dev/shm/history_log.sh构建脚本vim /dev/shm/history_log.sh#!/bin/bashfunction history_log(){ local time time=`date -d "-10 min" "+%F %H:%M"` tim=${time%[0-9]} r...
利用Powershell进行监控程序,超时自动关闭
weixin_34166847的博客
01-04 776
由于系统需要,需要将一个应用程序监控起来,如果这个应用程序启动超过60秒,则自动将其关闭,在国外的网站上发现了这个PS,试了一下,可以满足需求。Register-WmiEvent -Query"SELECT * FROM __InstanceCreationEvent WITHIN 60 WHERE TargetInstanceisa 'Win32_Process'" -So...
powershell监测进程特定阀值
weixin_34072458的博客
05-30 205
Get-Process | Where {$_.WS -gt 50MB} | Sort WS –Descending 转载于:https://blog.51cto.com/fengc/1419766
Powershell监控用户账号活动与自动报警
本文档详细介绍了如何使用PowerShell脚本来监控操作系统中的用户账号事件通过预警功能提供及时通知。主要关注的事件包括用户的登录、注销、新用户的创建、现有用户的删除以及软件安装等关键操作。文章的核心是两...
运维知识点-Windows操作系统-cmd/Dos批处理bat命令与脚本手册
最新发布
aming小老弟
11-17 2183
注释输入和输出变量条件判断循环跳转函数DOS命令CurlTelnet添加账号加入管理员组添加用户至远程桌面组允许修改密码关闭防火墙获取系统和版本信息显示本地或远程机器上当前运行的进程列表。操作系统 服务命令列表chkdsk.exe 磁盘检查开3389端口systeminfo获取NETBIOS主机名ping 测试网络连接net computer 添加或者删除数据库中的计算机,telnet命令进行远程登陆使用ftp命令进行数据传输使用netstat命令查看网络连接的相关信息。
小米路由器 XDR300 可以用来干什么?
AI天才研究院
08-08 434
小米路由器 XDR300 是小米推出的商用智能路由器系列产品之一。其主要功能包括智能接入、视频分析、流媒体播放、网络管理等。2021年9月份小米正式发布了XDR300。除此之外,小米还推出了“小黑屋”系列产品,功能包括设备管理、WLAN扫描、信用卡欺诈检测、地铁位置跟踪、电子围栏警报、智能运动协助、智能垃圾分类、智慧城市管理等。当然,作为小米旗下的一款产品,XDR300 更具备优秀的用户体验和创新性。路由器(Router)是互联网中一个重要的设备,负责网络数据的转发。
Powershell获取登陆失败信息
第四类人
01-21 1226
转自:http://www.pstips.net/finding-logon-failures-2.html 每当用户使用了无效的凭证,将会生成一条安全日志。 下面这个函数实例能读到这些事件从安全日志(注意需要管理员权限),然后显示出所有错误登陆信息。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1
AD密码过期邮件提醒
u011226383的博客
02-18 6484
本文使用了PowerShell脚本实现提醒功能。 一、因为发送邮件功能需要验证用于发送邮件的账号密码,为了安全使用下面的命令对输入的密码进行加密保存至文本,这里需要注意的是生成的密码文件仅能在本机使用,拷贝到其他电脑会失效: Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:\pwd.txt" 二、下面编写PowerShell脚本,这里需要注意的是邮件正文可以使用html代码编写,
java 判断密码到期提醒_AD密码过期查询
weixin_42535703的博客
02-16 1665
1、 查询单个账号是否过期:可以使用命令net user %USERNAME% /domain来进行查询。具体操作方式如下:2.查询所有活动的AD账号密码过期时间:在AD上运行powershell工具。第一步输入:$maxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days第二步输入:Get-ADUser -...
windows本地用户密码_在Windows 7中使用本地用户和组来管理用户密码
culingluan4376的博客
09-19 664
windows本地用户密码If you have multiple user on your local machine or manage workstations in an office, you might want to enable or disable their password protection for added security. Today we take a look...
Powershell检测AD账户密码过期时间邮件通知
weixin_34050005的博客
11-08 1212
我记得在坛子里流传这一份用PS1.0版本实现此功能的脚本本来想直接使用,但居然发现不会用呵呵。 后来一想直接写一个得了,此脚本主要实现了两个功能 : 一能判断账户密码过期时间通过邮件通知到账户,二是将这些即将过期账户信息累计通知到管理员。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2...
注销 Windows 10 管理员账号
FcUnity的博客
09-20 1280
在 Windows 10 操作系统中,管理员账号具有最高的权限,可以对系统进行全面的管理和配置。然而,有时候我们可能需要注销当前的管理员账号,以便切换到其他用户账号或限制对系统的访问。本文将介绍如何在 Windows 10 中注销管理员账号的方法,提供相应的源代码。请注意,注销管理员账号将导致你丢失当前的工作进度,所以在执行注销操作之前,请确保已保存所有的工作和文件。注销管理员账号的方法有多种,下面将分别介绍两种常用的方法:通过命令提示符和通过 PowerShell。1.2. 注销管理员账号。
计算机用户密码过期,PowerShell 检测用户密码过期时间
weixin_42501161的博客
06-23 2546
环境 AD 服务器 Windows 2012 R2,Exchange首先定制脚本,本脚本是参考网上一些资料然后进行改良的,3000用户的执行约1分钟。参考文章 http://lixiaosong.blog.51cto.com/705126/1409113/这篇文章中的脚本如果直接放里执行肯定会有问题,还有就是它的效率很低。因为它在循环语句中多次执行 Get-ADUser,每执行一次必消耗额定...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值