0

我编写了一个 python(3.2) 脚本来禁止 Windows 2008 服务器上事件日志中某些事件的 ips,我试图测试它是否会正确禁止 ips 来自 sql 暴力强制尝试。不幸的是,到目前为止它还没有到达代码的那部分,因为它正在寻找的事件 ID 从未出现(尽管它应该在日志文件中)。

def run_script_application_log():
    eventIds = [18456] #look for these events to process for possible ip bans 18456 = failed login
    server = 'localhost' # name of the target computer to get event logs from
    logtype = 'Application' # 'Application' or 'Security' etc...
    hand = win32evtlog.OpenEventLog(server,logtype)
    ipsToBan = look_for_ips_to_ban(hand,flags,eventIds)

def look_for_ips_to_ban(hand, flag, eventIds):
    ...some code....
    events=1
    while events:
        events=win32evtlog.ReadEventLog(hand,flag,0)
        for event in events:
            the_time=event.TimeGenerated.Format()
            seconds=date2sec(the_time)
            #if seconds < begin_sec - time_in_seconds: break
            if event.EventID in eventIds:

我插入了一个简单的打印语句来查看 event.EventID 发生了什么,它获得的数字至少可以说是奇怪的。事件日志上升到 33090,但返回的绝大多数 ID 与这些类似:1073750020 1073754112 -1073741823 -2147481364

我不知道发生了什么。它适用于安全日志,但应用程序日志似乎不行。

我查看了一些数据,除了 eventID 之外,所有数据似乎都正确报告。

例如,日志中的这条记录是正确的,只是它显示事件 ID 为 1073742726 而不是 18456。

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="MSSQLSERVER" /> 
<EventID Qualifiers="49152">18456</EventID> 
<Level>0</Level> 
<Task>4</Task> 
<Keywords>0x90000000000000</Keywords> 
<TimeCreated SystemTime="2012-12-08T18:01:32.000000000Z" /> 
<EventRecordID>4532</EventRecordID> 
<Channel>Application</Channel> 
<Computer>windowsmachine</Computer> 
<Security /> 
</System>
<EventData>
<Data>username</Data> 
<Data>Reason: Password did not match that for the login provided.</Data> 
<Data>[CLIENT: <local machine>]</Data
<Binary>184800000E0000000A000000570049004E004D00430041005000460058000000070000006D00610073007400650072000000</Binary> 
</EventData>
</Event>
4

1 回答 1

2

如果您检查它是二进制的,那么该功能可以正常工作,它只是添加了您不需要的 1 位(或更多,并没有真正检查它)。尝试像这样通过“AND”来回答:

答案=event.EventID & 0x1FFFFFFF

于 2012-12-20T07:45:54.320 回答