EvlWatcher v2.1.5 主机入侵防护系统 分析日志 自动屏蔽攻击者IP

wxs513

它基本上是Windows的fail2ban。它的目标也主要是我们喜欢fail2ban的原因：

• 预配置
• 没有初始脚本或配置文件
• 安装后忘记
  

对EvlWatcher所做的更详细的描述。
场景：那里有那些坏人，用蛮力尝试锤击你的服务（RDP 等）。
您可以在Windows事件日志中清楚地看到它们及其IP。
您已经搜索了网络，是的，有很多工具，脚本等等，可以读取事件日志并自动禁止攻击者IP。
然而，你很懒。你需要像fail2ban这样的东西，有一组预配置的规则来立即运行并且它可以工作。
但是，如果您愿意，它仍然需要足够的灵活性才能完全配置它。
EvlWatcher就是这样做的。它扫描Windows事件日志，并做出反应。
它的工作原理是安装扫描事件日志以查找不成功的登录尝试的服务。当违反其规则之一时（例如，尝试在没有正确凭据的情况下登录，在 5 分钟内超过 2 次），它会将该可怜的混蛋放入通用防火墙规则中，从而禁止攻击者 2 小时。

此外，当有人反复尝试时，有一个永久的禁止名单，人们在三次罢工后默认登陆。

当然，您可以根据自己的喜好调整规则。它们基本上由事件源和用于提取IP的正则表达式组成，非常简单。

安装
运行安装程序可执行文件。不需要删除以前版本的 EvlWatcher，安装程序将处理这个问题。

静默安装
顺便说一下，当您使用 /S 参数运行安装程序可执行文件时，它将以静默方式安装（例如，没有 UI）。这可用于远程或大规模推出 EvlWatcher，即通过组策略。

安装EvlWatcher之后
您现在安装了 2 件事，

将立即开始运行的 Windows 服务（称为 EvlWatcher）及其默认配置文件
管理控制台（在二进制目录中）
服务内容
您可以在您的服务中看到它作为“EvlWatcher”。它设置为本地系统和自动启动 - 这意味着它无法通过网络通信并且将始终运行。

该服务创建一个名为 EvlWatcher 的防火墙规则。并根据您的事件日志每 30 秒更新一次。就这么简单。 只有一件事：禁用规则时是正常的。当没有IP被禁止时，它会自动禁用。别担心，EvlWatcher 会在第一个禁令受害者出现后立即启用它。

配置的
您可以在二进制目录中将其视为配置.xml。 它旨在涵盖开箱即用的各种暴力攻击，但也可以扩展。如果你愿意，看看里面。

控制台（EvlWatcherConsole.exe）。
您可以使用控制台查看服务的运行情况。 控制台可以在开始菜单或安装文件夹中找到。

无论您打开还是关闭控制台，服务都会继续运行。

控制台中有几个选项卡。

项目地址
GitHub - devnulli/EvlWatcher：适用于Windows的“fail2ban”样式模块化日志文件分析器

下载地址
链接：https://pan.baidu.com/s/1Gtyn0Qf6lU-2wrTtgZnUoQ?pwd=knsi
提取码：knsi








下面是个阻断实例

huaxie0517

这是给提供公网服务的服务器用的，规则就是把异常ip拉入防火墙黑名单，很好用的东西免手工，等我测试一下就给云服务器用上。

fulibo

简单实用!希望好用!

matelot

简单，实用，希望，好用!，

zach14c

来试试Windows的fail2ban,学习了,谢谢

gxzx1573

感觉好复杂，谢谢楼主。

cnct2021

可以作为辅助手段了

suange2048

不明觉厉哈

ming938428016

英文看不明。如果中文就用一下。

hyxk

感谢楼主的分享，来阻断下监控软件。

biweiye

可以可以