Interpreter/Parser logów NPS(RADIUS)

28 października 2015 at 22:38

Kontynuując wątek rozpoczęty w poprzednik wpisie (http://mkrzanowicz.pl/?p=485) pozostajemy w tematyce sieci komputerowych, VLANów, 802.1x, RADIUS’a, NPS’a… We wcześniejszym wątku opisałem krótko zmagania z dziwnym przypadkiem użytkownika nieobsługiwanego poprawnie przez polityki sieciowe na serwerze MS NPS (Network Policy Server). Metoda dojścia do rozwiązania była dosyć partyzancka, bo polegała na porównywaniu wszystkich parametrów kont użytkownika, któremu wszystko działało poprawnie oraz tego, którego dotyczył problem. Oczywiście najważniejsze że udało się rozwiązać problem, jednak mimo wszystko istotny jest czas rozwiązywania podobnych przypadków. To skłoniło mnie do głębszego sięgnięcia w dokumentację oraz zapisy standardów. Okazuje się że logi NPS/IAS/RADIUS w wydaniu Microsoftu są bardzo ciekawie skomponowane. W relatywnie niewielkim rozmiarze zawartych jest ogrom informacji potrzebnych do weryfikacji ewentualnych problemów, raportowania, statystyk etc. Chociaż będąc uczciwym trzeba przyznać że pierwszy kontakt z tą formą logowania informacji powoduje reakcję typu „WTF?” albo skłania do domysłów o co chodzi. Potem następuje przegrzebywanie dokumentacji w poszukiwaniu informacji i manualne rozszyfrowywanie poszczególnych pozycji… Aż w końcu rodzi się myśl czy nie można tego zrobić lepiej, szybciej, automatycznie? Zacznijmy od składni takiego loga. Przykładowy wpis wygląda tak: „10.10.10.4,anonymous,10/12/2015,13:06:10,IAS,RADIUS1,6,2,12,1500,30,50-50-A8-D3-C1-EE,38,5C-97-0E-DD-F2-55,61,15,5,50130,87,GigabitEthernet1/4,4,10.10.10.4,4108,10.10.10.4,4116,9,4128,switch1,4154,NAP 802.1X (Wired),4155,1,4129,MKrzanowicz\anonymous,4130,MKrzanowicz\anonymous,4132,,25,311 1 10.10.10.11 09/11/2015 06:09:17 39763,4127,5,4136,1,4142,0” Trochę adresów IP, trochę adresów MAC, trochę kont domenowych, data i godzina i „jakieś cyferki” Po zagłębieniu się […]

Hurtowe przywracanie maili z Dumpster’a – Exchange

12 października 2015 at 19:16

W pracy każdego Sys-admin’a zdarzają się użytkownicy, którzy przez nieuwagę/pośpiech wykonują rzeczy niesamowite Niektórzy jednak mają do tego wrodzone uzdolnienia… Tym razem sytuacja związana z Outlookiem, pocztą, Exchange’m i właśnie „uzdolnioną inaczej” osobą. W wyniku bliżej nieokreślonych czynności wykonanych przez naszego zdolniachę – wszystkie wiadomości ze skrzynki ‚X’ został usunięte (również z kosza). Ot niby nic nadzwyczajnego. Zawsze można przywrócić manualnie maile z poziomu Outlooka, czy OWA. Przyjmujemy przy tym że Single-Item-Recovery jest wyłączone. Problem stanowi jednak ilość maili do przywrócenia. Jeśli przywraca się kilka-kilkanaście maili na raz to nie ma problemu. Przy większej ilości interfejs ma tendencję do zawieszania. Co jednak zrobić, gdy nasz zdolniacha usunął kilka(naście) tysięcy wiadomości? Zostawić go z GUI na dwie noce – niech sobie zapamięta żeby tego więcej nie robić? Zasadniczo to byłoby pouczające i zapamiętałby lekcję do końca życia… ale nie można być aż tak okrutnym. OK pomóżmy naszemu uzdolnionemu użytkownikowi: 1. Nadajemy sobie pełne uprawnienia do skrzynki „Discovery Search Mailbox” 2. Nadajemy sobie rolę/grupę „Discovery Management” 3. Nadajemy sobie uprawnienia do skrzynki, którą uzdolniony użytkownik wykastrował z maili. 4. Wykonujemy przeszukiwanie usuniętych maili ze skrzynki np uzdolniony.uzytkownik@mkrzanowicz.pl

5. Podpinamy skrzynkę użytkownika oraz skrzynkę „Discovery Search Mailbox” do Swojego Outlooka 6. Kopiujemy […]

listowanie zainstalowanych dodatków Firefox

20 lipca 2015 at 18:52

W jaki sposób można wylistować zainstalowane dodatki do Firefoxa oraz ich wersje? Oczywiście z wykorzystaniem Powershella:

I dostajemy ładny wynik w postaci np: name                    type                version                id —-                        —-                  ——-                 — Adblock Plus      extension       2.6.9.1-signed  {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

Weryfikacja, czy plik jest używany lub zablokowany przez inny proces/użytkownika

14 lipca 2015 at 12:00

W przypadku, gdy zachodzi potrzeba sprawdzenia czy dany plik jest wykorzystywany przez jakiś proces lub innego użytkownika można do tego celu wykorzystać następująca funkcję:

Opublikowaną swego czasu przez Davida Brabanta Całe testowanie prowadza się do wykonania polecenia:

które zwraca odpowiedzi na zasadzie prawda/fałsz – proste szybkie i skuteczne. Ku pamięci – żeby nie musieć w przyszłości jeszcze raz „odkrywać Ameryki na nowo”…

Tworzenie archiwów z użyciem Powershell’a

14 lipca 2015 at 11:41

Temat tworzenia archiwów (*.zip, *.7z) przewija się przy większości systemów, które generują masę logów zajmujących sporo miejsca na dyskach. Można z tym walczyć wykorzystując de-duplikację danych, można zasób kompresować ale i tak najczęściej sprowadza się do konieczności tworzenia archiwów, które zostaną zarchiwizowane na zasobach zewnętrznych. Jak więc robić to automatycznie? W przypadku, gdy pliki odkładane są w jednej lokalizacji – możemy spakować cały folder mając zainstalowany pogram 7-zip wykorzystując poniższa funkcję:

(Zakładając, że 7-zip jest zainstalowany w domyślnej ścieżce) Później pozostaje tylko wykonanie kompresji:

Ale gdy nie chcemy instalować 7-zipa, albo pliki do archiwizacji mamy rozrzucone w wielu różnych lokalizacjach łatwiej i wygodniej będzie wykorzystać dobrodziejstwa powershella w Windows 2012 R2:

Wykorzystujemy tutaj proces, w którym w skrócie: 1. Tworzymy archiwum *.zip 2. Pobieramy interesujący nas log do zmiennej 3. Dodajemy log do utworzonego w pkt. 1 archiwum Pozostaje tylko usunięcie zarchiwizowanego logu:

Oraz zaplanowanie w harmonogramie zadań częstotliwości wykonywania archiwizacji. Enjoy

© Marcin Krzanowicz