我想通过MS Log Parser查询一下使用Bitvise SSH Serve远程登录用户的IP。但是我想要查询的用户,Source IP是空的。但是内部员工登录的IP是显示的。这是为什么?
我使用的command是:
LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,8,'|') AS LoginType,EXTRACT_TOKEN(Strings,5,'|') AS user_name,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM Security WHERE EventID=4624"
分享
关注🕖上午好,题主!目前:🟢[在线]
📢参考通义千问、由郭老师整理提供!
📣今日诗号:疏影横斜,暗香浮动,低酌浅唱月明中。休去,休去,惊起一枕奇梦。
你遇到的问题是因为 Bitvise SSH Server 在记录外部用户登录时,没有正确地在 Windows 事件日志中记录源 IP 地址。这可能是因为 Bitvise 使用了内部 NAT 或代理机制,导致 Windows 看到的连接源是本地地址,而非真实的外部 IP。
为了获取所有用户的登录 IP,包括那些 Source IP 为空的外部用户,你需要分析 Bitvise SSH Server 自身的日志文件。以下步骤可以帮助你实现:
1. 查找 Bitvise SSH Server 日志文件
默认情况下,Bitvise SSH Server 的日志文件存储在以下位置:
C:\Program Files (x86)\Bitvise SSH Server\Logs
你可以在 Bitvise SSH Server 控制台的 "Logging" 部分确认日志文件的具体位置。
2. 确定 Bitvise 日志格式
Bitvise SSH Server 支持多种日志格式,你需要确定当前使用的格式。常见格式包括:
3. 使用 Log Parser 或其他工具解析日志文件
根据你选择的日志格式,可以使用 Log Parser 或其他文本处理工具(如 PowerShell、Python 等)来解析日志文件并提取相关信息。
以下是一些示例:
使用 Log Parser 解析 CSV 格式的日志文件:
LogParser.exe -i:CSV "SELECT EXTRACT_TOKEN(Strings,1,' ') AS LoginTime, EXTRACT_TOKEN(Strings,2,' ') AS LoginType, EXTRACT_TOKEN(Strings,4,' ') AS UserName, EXTRACT_TOKEN(Strings,3,' ') AS SourceIP FROM 'C:\path\to\bitvise.log' WHERE LoginType LIKE '%login%'" -headerlines:1
使用 PowerShell 解析纯文本格式的日志文件:
Get-Content "C:\path\to\bitvise.log" | ForEach-Object {
$parts = $_.Split(" ")
[PSCustomObject]@{
LoginTime = $parts[0]
LoginType = $parts[1]
SourceIP = $parts[2]
UserName = $parts[3]
}
} | Where-Object {$_.LoginType -like "*login*"}
4. 根据需要调整代码
你需要根据 Bitvise SSH Server 日志文件的实际格式和内容调整上述示例代码。
其他建议:
希望以上信息能够帮到你!
分享
已采纳回答
9月27日
创建了问题
9月27日
