Pigiando alacremente sui tastini, Fabrizio Giammarini scrisse:
Ciao, il formato predefinito di un record del CSV di output dovrebbe
essere questo:
Vediamo! Dove hai trovato l'info?
Confrontiamo
eventRecordID,source,category,type,computer,date/time,user,description
con il record che avevo postato:
eventRecordID
L'eventRecordID dovrebbe essere un codice numerico univoco e
progressivo per i vari eventi (quindi diverso dall'event ID vero e
proprio).
339689
Non ci piove, è un numero univoco e progressivo
source
Security
Ok
category
Security
Ok
type
SUCCESS AUDIT
Ok
computer
NomeServer
Ok
Date/time
11/04/2013 09:28:53
Ok
<missing> ma è l'EventID
540
User
User\Dominio
Ok, anche se è strana la forma user\dominio al posto di dominio\user
description
"Message text not available. Insertion strings: User Dominio (0x0,0x24794AD5) 3 Kerberos Kerberos {2ed5376a- 95cc-3f47-68cb-db6cfeeb2a07} - - - - - 10.10.10.10 51221"
E anche questa sembra OK.
I campi sono 8 perchè i dati di descrizione dell'evento sono racchiusi
tra doppio apice: in questo caso quindi la virgola non viene calcolata
come separatore.
Però nel record che ho compare il nono campo che è palesemente l'EventID. Per questo ti chiedevo da dove tu avessi ricavato il tracciato record.
Ok, potrebbero anche bastare queste informazioni per dar modo ai programmatori di far qualcosa, ma speravo di fornire loro un documento "ufficiale" che descrivesse magari anche più nello specifico i dati.
Considera comunque che esistono software commerciali che permettono
l'analisi di questo tipo di log (ad esempio SawMill).
Sì, ma qui facciamo le nozze con i fichi secchi. E poi dobbiamo pure far lavorare un po' i programmatori che abbiamo.. :-)
GRAZIE è già una buona base di partenza.
Luca Amicone
