Lecture de log windows

Plopeuh · Mars 27, 2015, 3:02

Bonjour la zone,

Petit soucis qui me tarabiscote en ce moment :

Je dois allez lire les quelques 300mo de log de sécurité de windows de plusieurs DC pour retrouver les traces de connexion d’un users, seul soucis l’export en csv ou en excel de ces logs ne me donne qu’une vaste bouillie de texte inutilisable :

Niveau,Date et heure,Source,ID de l'événement,Catégorie de la tâche
Information,27/03/2015 15:41:50,Microsoft-Windows-Security-Auditing,4933,Réplication du service d’annuaire,"La synchronisation d’un réplica d’un contexte de nommage Active Directory s’est terminée.

DRA de destination :	CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=Bobleponge,DC=local
DRA source :	CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=Bobleponge,DC=local
Contexte de nommage :	DC=Bobleponge,DC=local
Options :		19
ID de session :	103345
USN de fin :	19961837
Code d’état :	0"

Information,27/03/2015 15:41:50,Microsoft-Windows-Security-Auditing,4932,Réplication du service d’annuaire,"La synchronisation d’un réplica d’un contexte de nommage Active Directory a commencé.

DRA de destination :	CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=Bobleponge,DC=local
DRA source :	CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=Bobleponge,DC=local
Contexte de nommage :	DC=Bobleponge,DC=local
Options :		19
ID de la session :	103345
USN de démarrage :	19961821"

(quelques millions de lignes …)

En gros la première ligne est celle des entêtes, la suivante celle qui se colle bien en csv, mais la suite contient les informations importantes (quels users, ou etc)

Auriez vous des outils d’analyse de ce genre de chose histoire de me faciliter la vie ?

Donjohn · Mars 27, 2015, 3:04

uedit32 ? ca ouvre n’importe quel fichier de n’improte quel taille (meme un txt de 10go) et ca a une recherche en regex.

(ptet notepad++ mais je le connais moins bien)

canard · Mars 27, 2015, 5:19

notepad ++ galère assez vite sur les gros fichiers

Phil · Mars 27, 2015, 6:34

grep -aiHE -B4 -A3 "DC=Bobleponge," mon.log

Ou alors l’utilitaire Agent Ransack (appelé aussi File Locator Lite).

AzuKa · Mars 27, 2015, 6:59

tu peux faire ça avec eventcombMT, outils gratuit microsoft.
ça marche très bien, je l’utilise quand j’ai besoin de scanner des centaines d’eventlog de serveurs pour retrouver des erreurs ou des users.

Donjohn · Mars 27, 2015, 8:33

avec grep c’est trop facile, c’est cheaté

Plopeuh · Mars 28, 2015, 5:09

Merci pour les différentes réponses, je tente cela lundi au tra directement !

djktk · Mars 28, 2015, 7:32

Sinon en powershell, select-string est sensé faire la même que grep, non ?

Plopeuh · Mars 30, 2015, 11:25

[quote=« AzuKa, post:5, topic: 56138 »][/quote]

Top pour vérifier le statut d’un utilisateur (avec le « lockoutstatus.exe ») attention a la compatibilité 7 à utiliser sur un 8.1 mais ne va pas parser les security log (ouverture/ fermeture de session / fail) de windows :(, dommage ca avait l’air fait pour !

Les outils d’ouverture de fichier +grep c’est ce que je voulais eviter … mais bon je crois que j’ai plus le choix ! (le soft Agent Ransack semble être pour trouver des fichiers et non des choses dans un fichier précis)

Bon bah je me lance avec uedit va falloir que je me remette le nez dans les regex.

AnA-l · Mars 30, 2015, 11:36

Sinon, ptet que ca http://www.logfusion.ca/ ca peut aider.

Plopeuh · Mars 30, 2015, 12:11

Un peu le même problème, sur les security log, l’info importante est taggué sous “message” et n’est pas dans une colonne séparé. J’avais “que” 200 entrée pour la personne en question, j’ai fais une recherche et j’ai vériifé les messages un par un …

AzuKa · Mars 30, 2015, 1:14

avec eventcombMT.exe et non lockoutstatus.exe, tu peux faire du parsing de la partie message justement

Plopeuh · Mars 30, 2015, 2:23

Security log est pas clickable en faite ;). Après je l’ai pas lancé directement sur un dc tu me diras.

AzuKa · Mars 30, 2015, 2:43

mais si c’est clickable « run as admin » ;)

Phil · Mars 30, 2015, 2:56

[quote=“Plopeuh, post:9, topic: 56138”][/quote]
Ben si, il sait très bien rechercher dans des fichiers.

Plopeuh · Mars 31, 2015, 12:08

[quote=“AzuKa, post:14, topic: 56138”][/quote]

Ahum … effectivement … honte.

[quote=“phili_b, post:15, topic: 56138”][/quote]

Hmm effectivement, mais j’avoue ne pas trop m’etre battu avec, ca a l’air de savoir parsé plein de fichier d’un coup et pas forcément d’ouvrir un fichier particulier pour le parsé. Incapable de choisir un fichier par exemple sans bidouillé avec la recherche de nom de fichier. J’ai retenté un peu moins stressé et l’esprit ouvert, c’est effectivement relativement efficace :). Je garde sous le coude !

Bon j’ai pas trouvé de solution parfaite mais avec les deux trois logiciels cités j’ai pu en tiré les infos que je voulais ! encore merci.

(je conseil l’outils windows pour crée les logs pré parsé, ou il te sort tout le log avec ce que tu veux dedans)