none
Анализ log файлов RRS feed

  • Вопрос

  • Необходимо произвести анализ логфайлов с пяти различных серверов Exchange за период 14 дней. Необходимо сделать выборку данных по полям отправитель получатель с возможностью группировки по отпровителю. Можете посоветовать средство автоматизации данного процесса? При этом нужен вывод в удобочитаемом и передаваемом виде.

    • Перемещено Tina_Tian 19 марта 2012 г. 6:45 forum merge (От:Exchange Server 2003/2000/5.5)
    Модератор

Все ответы

  • Logparser смотреть
  •  Sergey Krylov написано:
    Logparser смотреть

    Хорошая программа Log Parser. Только с ним еще разобраться нужно. Вот например я не совсем понял как ему в качестве источника указать нужный лог.

    Вот MTC делает идеальную выборку. То что нужно, но как сохранить результаты в файл?

    Модератор
  •  mdanshin написано:

     Sergey Krylov написано:
    Logparser смотреть

    Хорошая программа Log Parser. Только с ним еще разобраться нужно. Вот например я не совсем понял как ему в качестве источника указать нужный лог.

    Вот MTC делает идеальную выборку. То что нужно, но как сохранить результаты в файл?

     

    так вы какие логи в первую очередь анализу подвергнуть хотите ? те что от MTC ? так их можно через WMI проанализировать

  • по работе с логами MTC(WMI) читайте SDK, в качестве практически готового решения см http://www.outlookexchange.com/articles/glenscales/mtrackrs.asp
  • есть отличкая программка .... MAIL ACCESS MONITOR  for MS exchange server http://www.mailaccessmonitor.ru/  выводит офигенные отчеты и прочее...
  •  Sergey Krylov написано:
     

    так вы какие логи в первую очередь анализу подвергнуть хотите ? те что от MTC ?

    А разве тут принципиально какие именно логи? Главное что бы решение отражало реальную картину и было доступным.

    Модератор
  • Очень интересная ссылка. Только вот не удается скачать simpleLPview00.zip. Идет ссылка на сайт http://www.logparser.com которого уже видимо не существует. Вместо него перекидывают на http://www.iis.net а там упоминаний об этом файле я не нашел. А это могло бы быть решением...

    Модератор
  •  mdanshin написано:
     Sergey Krylov написано:
     

    так вы какие логи в первую очередь анализу подвергнуть хотите ? те что от MTC ?

    А разве тут принципиально какие именно логи? Главное что бы решение отражало реальную картину и было доступным.

     

    ссылка на практически готовый к применению продукт дана имеено для разбора MTC файлов , все делается через

    Exchange_MessageTrackingEntry

  • Да, программа безусловно заслуживает внимания, жаль только, что она ориентирована на подсчет трафика. Пока мне не удалось адаптировать ее под свою задачу.
    Модератор
  •  mdanshin написано:
    Да, программа безусловно заслуживает внимания, жаль только, что она ориентирована на подсчет трафика. Пока мне не удалось адаптировать ее под свою задачу.

     

    все что записывается в MTC логи - выводится , пишется в том числе и размер

    9 июля 2007 г. 10:02
  • Да, разница лиш в гибкости построения запроса.
    9 июля 2007 г. 10:39
    Модератор
  • Кто работал с log parser? Не пойму где я не правильно делаю:

     

    Подпихиваю logparseru лог MTC

     

    C:\Program Files\Log Parser 2.2>logparser -i:w3c "SELECT * FROM C:\exlog\ex\20070705.log WHERE Sender-Address LIKE '%@domain.ru'" > c:\exlog\export.txt

     

    В результате получаю:

     

    Statistics:
    -----------
    Elements processed: 117416
    Elements output:    0
    Execution time:     6.62 seconds

     

    Как же так?

    9 июля 2007 г. 11:52
    Модератор
  • 9 июля 2007 г. 12:23
    Модератор
  • при чем здесь спамеры ?  это генератор запросов
    9 июля 2007 г. 12:26
  • Сергей, за ссылку http://anonymoos.com/logparser.php спасибо. Не встречал.

     

    Михаил, мне кажется на ваш вопрос уже ответили и можно ставить Сергею зачет! :-)

    9 июля 2007 г. 12:32
    Модератор
  •  Sergey Krylov написано:
    испробуйте http://anonymoos.com/logparser.php[/quote]

    Ага, так вот спамеры и узнают почтовые адреса компаний!

    Вопрос остается в силе.

     Sergey Krylov написано:
    при чем здесь спамеры ?  это генератор запросов

    Да, мне сначала показалось, что он к себе будет мой файл забирать и мне результат выдаст. Ну заработался, что поделать!!! Smile

    9 июля 2007 г. 12:35
    Модератор
  •  Pavel Nagaev написано:

    Сергей, за ссылку http://anonymoos.com/logparser.php спасибо. Не встречал.

     

    Михаил, мне кажется на ваш вопрос уже ответили и можно ставить Сергею зачет! :-)

     

    да не за что

     

    в данной теме приведено 2 решения данного вопроса - как через LogParser так и через WMI, на любой вкус

    9 июля 2007 г. 12:38
  • Еще один вопросик... А почему в log файлах MTC русский subject пишется аброкадаброй в то время когда сам MTC выдает читаемый результат. Как можно переконвертить?
    9 июля 2007 г. 13:27
    Модератор
  • MTC работает через WMI , используйте его он нормально т.е. как положено производит конвертацию

     

     

    9 июля 2007 г. 13:42
  • Еще туда же... А кто умеет циклы делать в cmd? можно задать цикл по дате? Что то типа:

     

    Code Snippet

    date i = 20070505

    while i < 20070605 do

    {

      //do something

      i++

    }

     

     

    9 июля 2007 г. 14:18
    Модератор
  •  Sergey Krylov написано:

    MTC работает через WMI , используйте его он нормально т.е. как положено производит конвертацию

    А всетаки хотелось понять природу проблемы? Почему так получается, что в LOG пишется кривой subj? Можно это как то поправить?

    9 июля 2007 г. 14:56
    Модератор
  •  mdanshin написано:
     Sergey Krylov написано:

    MTC работает через WMI , используйте его он нормально т.е. как положено производит конвертацию

    А всетаки хотелось понять природу проблемы? Почему так получается, что в LOG пишется кривой subj? Можно это как то поправить?

     

    да почему кривой то ? utf-8

    9 июля 2007 г. 16:11
  • Странно как то получается. Изначально создается файл с кодировкой DOS туда пишется utf-8. В результате получаем двойную перекодировку. Чем читать логи, что бы сразу все было читаемо?

    Часто встречаются такие строчки:

    =?Windows-1251

    или

    =?koi8-r?

    Это вообще откуда берется? То что идет после этого не похоже на указанную кодировку.

    12 июля 2007 г. 7:10
    Модератор
  •  mdanshin написано:

    . Чем читать логи, что бы сразу все было читаемо?

     

    Вы что ? Не замечаете ответов ? Через классы WMI и читайте - все работает , периведена даже ссылка на готовый (практически) продукт\код

    12 июля 2007 г. 8:42
  • Сергей, каждый выбирает для себя наиболее удобный путь. От WMI я далек. Практически готовые продукты всегда приходится допиливать, что требует усилий. При том, что WMI я не знаю.

    Темболее, что задачу я решил, но остались уточнающие вопросы. Вот я их и задаю.

    12 июля 2007 г. 9:41
    Модератор
  •  mdanshin написано:

    Сергей, каждый выбирает для себя наиболее удобный путь. От WMI я далек. Практически готовые продукты всегда приходится допиливать, что требует усилий. При том, что WMI я не знаю.

    Темболее, что задачу я решил, но остались уточнающие вопросы. Вот я их и задаю.

     

    вы решили на подобие - http://download.microsoft.com/download/a/7/c/a7ca2818-d784-4b91-a77c-16d46d74e9b6/v2/ITPRO_Log_Parser_and_Microsoft_Exchange_Server_the_Perfect_Blend_Ilse_Van_Criekinge.ppt

     

     

     

    12 июля 2007 г. 10:51
  • Нет, что вы. Это требует времени и денег. Все примитивно - запрос для logparser и cmd. Вывод в xls. Все. Осталось только кодировка. В результате хочу сделать HTA+Vb.
    12 июля 2007 г. 12:10
    Модератор
  •  mdanshin написано:
    В результате хочу сделать HTA+Vb.

     

    самое примитивное в таком случае - это все же WMI использовать - выборка там прекрасно работает - сама программа займет строк 10 - требуется всего лишь один класс использовать

    12 июля 2007 г. 14:16
  • Давно хотел с WMI познакомиться поближе. Думаю это подходящий случай, но задача не терпела изучения WMI.
    12 июля 2007 г. 14:44
    Модератор
  •  mdanshin написано:
    Давно хотел с WMI познакомиться поближе. Думаю это подходящий случай, но задача не терпела изучения WMI.

     

      я уже устал талдычить - вам нужен лишь 1 (Один) классс Exchange_MessageTrackingEntry  - все , более ничего ...

     

    12 июля 2007 г. 15:32
  • Что это за слово такое "талдычить"?

    Однажды Alexander Trofimov (KomatoZo) выразил это термином "Инерция мозга". Цитирую "Вы это сделали, и с этого момента Вам все очень просто. А человек, который это не сделал еще может потеть над решением ОЧЕНЬ долго".

    13 июля 2007 г. 6:36
    Модератор
  •  mdanshin написано:

    Что это за слово такое "талдычить"?

    Однажды Alexander Trofimov (KomatoZo) выразил это термином "Инерция мозга". Цитирую "Вы это сделали, и с этого момента Вам все очень просто. А человек, который это не сделал еще может потеть над решением ОЧЕНЬ долго".

     

    потеть над решением в данном случае совершенно не требуется

    13 июля 2007 г. 9:38
  •  первоначально цитата относилась к еще более тривиальной задачке.
    13 июля 2007 г. 10:25
    Модератор