Untitled
unknown
plain_text
a month ago
1.1 kB
6
Indexable
# Définition des IDs des événements RDP
$eventIDs = @(4624, 4625)
# Récupération des événements liés à RDP
$events = Get-WinEvent -LogName Security -FilterHashtable @{Id=$eventIDs} -MaxEvents 1000
# Parcours des événements
$rdpAttempts = @()
foreach ($event in $events) {
$eventXML = [xml]$event.ToXml()
$logonType = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "LogonType" }).'#text'
$account = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "TargetUserName" }).'#text'
$sourceIP = ($eventXML.Event.EventData.Data | Where-Object { $_.Name -eq "IpAddress" }).'#text'
$status = if ($event.Id -eq 4624 -and $logonType -eq "10") { "✅ Accepté" } elseif ($event.Id -eq 4625) { "❌ Refusé" } else { "🔹 Autre" }
# Ajout à la liste
$rdpAttempts += [PSCustomObject]@{
Date = $event.TimeCreated
Utilisateur = $account
IP_Source = $sourceIP
Status = $status
}
}
# Affichage des résultats
$rdpAttempts | Sort-Object Date -Descending | Format-Table -AutoSize
Editor is loading...
Leave a Comment