none
script per esportare eventid singoli RRS feed

  • Domanda

  • Buongiorno a tutti,

    mi rivolgo a voi per la soluzione del mio caso.

    Ho la necessità di creare un backup degli audit  logon logoff del mio server AD, ho cominciato ad utilzzare il comando wevtutil epl ma senza troppo successo.Funziona bene fino a che non chiedo di esportare il singolo evento, ma non esporta niente se gli specifico l'evento. La stringa che ho usato è la seguente:

    wevtutil epl Security c:\nomefile.evtx /q:"*[Security[(EventID=4624)]]"

    Dove sbaglio?

    Grazie

    mercoledì 10 agosto 2016 07:55

Risposte

Tutte le risposte

  • Ciao,

    nella query devi mettere System

    wevtutil epl Security c:\log.evtx /q:*[System[(EventID=4624)]]

    Qui spiega un po' di cose al riguardo: http://blog.backslasher.net/filtering-windows-event-log-using-xpath.html


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 10 agosto 2016 08:27
    mercoledì 10 agosto 2016 08:27
  • Grazie, ho eseguito con il nuovo comando ma il risultato è sempre lo stesso, nessun evento esportato.
    mercoledì 10 agosto 2016 08:37
  • appena testato (copia/incolla) sul mio PC e funziona. Sei sicuro di avere eventi con quell'ID nel log Security?

    Questo comando ti da output? wevtutil qe Security /q:*[System[(EventID=4624)]]

    Se esportarlo in csv é un'opzione che puoi considerare c'é anche PowerShell

    get-eventlog security |?{$_.eventid -eq 4624}|epcsv c:\slogs.csv -NoTypeInformation


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 10 agosto 2016 08:48
  • Nessun output a video con l'opzione qe, si ci sono eventi audit success con id 4624,

    l'unico dubbio che mi viene è il .net 3.5 che ancora non è installato. Possibile sia quello ?

    mercoledì 10 agosto 2016 08:54
  • provato anche con powershell ma crea lo stesso un file vuoto
    mercoledì 10 agosto 2016 09:07
  • Lo esegui da shell elevata (sia wevtutil che powershell)? Sei amministratore o almeno event log reader?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 10 agosto 2016 09:13
    mercoledì 10 agosto 2016 09:12
  • utente nel gruppo administrators


    mi basta il comando che ho scritto in powershell e copiarlo in un .ps1 per farlo eseguire da task scheduler?
    mercoledì 10 agosto 2016 09:20
  • Riesci a esportarlo a mano dalla gui?

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 10 agosto 2016 09:23
    mercoledì 10 agosto 2016 09:23
  • si ma la cosa strana è che se non specifico l'eventID la creazione del file log avviene correttamente, e viene normalmete aperto dall'event viewer
    mercoledì 10 agosto 2016 09:25
  • se filtri per altri event id magari anche da altri log funziona o fa uguale?

    Non riesco a immaginare cosa possa essere, potresti esportare tutto il log in CSV con powershell e poi filtrare il file csv


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti



    • Modificato aperelli mercoledì 10 agosto 2016 09:30
    mercoledì 10 agosto 2016 09:28
  • sto provando col 4768, ti faccio sapere

    stessa cosa
    mercoledì 10 agosto 2016 09:30
  • esporta tutto in csv poi filtra il csv, non saprei cosa altro controllare

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 10 agosto 2016 09:39
  • ah ok allora uso un batch col comando wevtutil epl
    mercoledì 10 agosto 2016 09:41
  • con PS ci metti meno:

    get-eventlog security |epcsv c:\slogs.csv #esporta tutto il log in formato csv
    $csv=ipcsv C:\slogs.csv # importo il csv esportato sopra in una variabile
    $csv|?{$_.eventid -eq 4624}|epcsv c:\EvtFiltered.csv #filtro dati nella variabile e esporto in un nuovo file


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 10 agosto 2016 10:32
    mercoledì 10 agosto 2016 09:50
  • Si ma se non filtra?

    e poi il codice che mi hai scritto lo metto in un file .ps1?

    mercoledì 10 agosto 2016 09:55
  • se guardi bene il comando PS esporta tutto il log, poi filtra il csv.

    I comandi li puoi lanciare in sequenza senza metterli in un file


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 10 agosto 2016 10:06
  • ok ma vorrei che venisse schedulato settimanalmente 

    quindi per farlo eseguire dal task dovrò metterlo in un file, comunque non funziona.

    Mi genera il primo file di esportazione, ma quando richiedo il filtraggio all'event ID mi crea un file vuoto

    mercoledì 10 agosto 2016 11:34
  • mi viene da pensare che non hai eventi 4624. Nel primo csv ci sono?

    Se la risposta é si, prova su un'altra macchina pulita, senza AV, li dovrebbe funzionare.

    Sulla macchina su cui stai lavorando disinstalla l'AV e fai un avvio pulito. Riprova dopo l'avvio pulito


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    mercoledì 10 agosto 2016 11:36
  • si ci sono
    mercoledì 10 agosto 2016 11:44
  • si ci sono
    ho aggiornato il post sopra, c'é qualcosa che non va sulla macchina su cui stai lavorando

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 10 agosto 2016 11:47
  • Purtroppo non riesco a farlo in quanto sono gestito dalla sede centrale e non ho i permessi per poterlo disinstallare,

    mi accontenterò del log totale, grazie di tutto

    mercoledì 10 agosto 2016 12:37