none
Jak vytáhnout informace ze Security logu?

    Dotaz

  • Zdravím,

    rád bych z Windows logu vytáhnul informaci, kteří uživatelé měli problém s příhlášením do Active Directory (například v důsledku špatného hesla). Zatím jsem dokázal jenom to, že k určitému ID události jsem přiřadil odeslání mailu. Tam ale dostanu jenom čas a uživatelské jméno. Potom musím stejně jméno uživatele dohledávat na serveru přímo. Tak jsem zkusil rovnou filtrování logu v Server Manageru, ale pokud si dám vyfiltrovat konkrétního uživatele, dostanu 0 výsledků. Pokud si nechám zobrazit sloupec User, dostanu N/A. Tak jsem si řekl, že nezbývá než se naučit LogParser - ten ale bohužel nefunguje na serveru 2008 R2. Máte někdo nějaký tip, jak efektivně prohlížet logy, připadně jak lépe nastavit notifikaci mailem?

    Díky, JŠ

    12. června 2013 15:05

Odpovědi

  • Muzete samozrejme pouzit visual basic script. Urcite najdete neco v MS Scriptcenter. Google take najde radu reseni.

    http://www.sans.org/windows-security/2009/06/30/dump-windows-event-logs-to-csv-text-vbscript

    http://pario.no/2009/05/13/exporting-events-including-event-properties-from-windows-event-viewer/

    ...

    Muzete pouzit nativni nastroj wevtutil

    http://chentiangemalc.wordpress.com/2011/01/25/script-to-collect-all-event-logs-off-a-remote-windows-7-server-2008-machine/

    Powershell muze usetrit hodne prace a scripty mohou byt kratsi a prehlednejsi nez tomu je u VBS.

    M.

    13. června 2013 10:38

Všechny reakce

  • Logy muzete vyexportovat pomoci Powershellu (treba do formatu cvs). Pouzijte verzi 3 a usetrite si import modulu. Skriptem muzete sesit vysledny log s exportem z AD (nebo jine db).

    M.

    12. června 2013 15:40
  • Powershell bych se asi měl v budoucnu naučit, zatím je to pro mě španělská vesnice. Existuje nějaký pohodlnější nástroj?
    13. června 2013 7:39
  • Muzete samozrejme pouzit visual basic script. Urcite najdete neco v MS Scriptcenter. Google take najde radu reseni.

    http://www.sans.org/windows-security/2009/06/30/dump-windows-event-logs-to-csv-text-vbscript

    http://pario.no/2009/05/13/exporting-events-including-event-properties-from-windows-event-viewer/

    ...

    Muzete pouzit nativni nastroj wevtutil

    http://chentiangemalc.wordpress.com/2011/01/25/script-to-collect-all-event-logs-off-a-remote-windows-7-server-2008-machine/

    Powershell muze usetrit hodne prace a scripty mohou byt kratsi a prehlednejsi nez tomu je u VBS.

    M.

    13. června 2013 10:38
  • Tak jsem vyzkoušel wevtutil. Naskriptoval jsem to tak, že mi to v příloze emailu pošle obsah celé zprávy. Časem se pustím do toho powershellu, abych měl jméno uživatele přímo v předmětu emailu. Díky moc, wevtutil jsem neznal.

    15. srpna 2013 15:49