Untitled

# Définition des IDs des événements RDP
$eventIDs = @(4624, 4625)

# Récupération des événements liés à RDP
$events = Get-WinEvent -LogName Security -FilterHashtable @{Id=$eventIDs} -MaxEvents 1000

# Parcours des événements
$rdpAttempts = @()

foreach ($event in $events) {
    $eventXML = [xml]$event.ToXml()
    $logonType = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "LogonType" }).'#text'
    $account = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "TargetUserName" }).'#text'
    $sourceIP = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "IpAddress" }).'#text'
    $status = if ($event.Id -eq 4624 -and $logonType -eq "10") { "✅ Accepté" } elseif ($event.Id -eq 4625) { "❌ Refusé" } else { "🔹 Autre" }

    # Ajout à la liste
    $rdpAttempts += [PSCustomObject]@{
        Date       = $event.TimeCreated
        Utilisateur = $account
        IP_Source  = $sourceIP
        Status     = $status
    }
}

# Affichage des résultats
$rdpAttempts | Sort-Object Date -Descending | Format-Table -AutoSize