BlackDragonE

Wie gesagt, habs nun (sieh oben) Brauchte alle Daten von EventLog wo der Username Administrator war/ist. mit der oberen Abfrage gehts nun auch soweit ;) Danke

Habs nun: SELECT *, Timegenerated, EXTRACT_TOKEN(Strings,0,'|') AS User, EXTRACT_TOKEN(Strings,5,'|') AS ClientAddress FROM Security WHERE UserLIKE '%Administrator%' so gehts, hab nun aber irg wie 100 Logs mehr als bei Eventlog... mal alle durchgucken oO Danke für die hilfe ;)

Ich hab nun die Abfrage: select * from System where EventType=1 bräuchte aber net die EventType sondern den Username "Administrator" herauszulesen. Sprich am Ende sollten alle Events welche Administrator begangen hat ausgelesen werden. Hoffe diesmal wars verständlich, sry. mfg

Hab nun bei Logparser eine Abfrage geschrieben, nur leider find ich nirgends den Username abzufragen, sprich ich kann Fehlerauslese usw machen... (select * from System where EventType=1) Aber ich brauche den Username und find hierzu keinen Abfragename... Allso statt where EventType=1 müsste hier where Username=Administrator stehen.. nur das Username nicht erkannt wird... Kann mir da ev wer helfen? mfg

Moin, schönes neues Jahr. So nach Urlaub und anderen Arbeiten wieder zurück zu diesen Thema ;) Hab nun versucht mit LogParser2.2 und EventQuery.vbs die Dateien auszulesen (allso nur die Events vom Benutzer "Administrator"). Nur leider mangels Kenntnisse ist es mir nicht gelungen so eine Abfrage zu erstellen. (Hab zwar Vorlagen gefunden, aber da steht nirgends wo ich die Abfrage reinschreiben muss. Bei Logparser sollt ich 2 Dateien erstellen, bei EventQuery ein cscript wobei aber nirgends genau stand wie/wo ich es machen musste.. Sprich bei mir bleibt es schon mal bei der Ausführung der Programme stecken -.-) Könntest du mir oder wer anders hierbei helfen, hab bei Google gesucht aber irg wie nix hilfreiches gefunden (ev weil ich flasch suche (logparser 2.2 eventlog auslesen usw..), krieg da zwar nützliche Seiten, aber wie schon gesagt, bei mir hängts da schon, weil ich net verstehe wie ich das Programm öffnen muss, LogParser zb nicht über die exe datei?...) Vielen Dank schon mal

Zu1. Naja wäre immer was ^^ Laut Unternehmensverband reicht das aus, wenn mans alle paar mal auf Dvd Brennt und somit nicht verändert werden kann (naja das könnte man auch umgehen aber lassen wirs mal ;) ) zu2. Mhm hab nun die Dateigröße geändert und siehe da, auch der 17.12 steht nun da.. (was wäre aber eine angebrachte Ordnergröße, wenn ich se alle woche mal abspeichere) Wie kann ich aber einstellen, dass nur der Admin da angezeigt wird, allso nicht im Tab Sicherheit sondern in einem neuen, da ich atm 100Mb angebeben habe und der grad mal 3 Tage da platz hat wenn ich alle drinnen habe oO bzw das mit den abspeichern muss ich mir nun demnächst angucken. Danke schon mal

Guten Tag, da in Italien ein neues Datensicherheitsgesetz in Kraft getreten ist, müssen wir nun in der Firma jedes mal wenn sich ein Admin einloggt und was macht dies Protokolien. In der Ereignisanzeige unter Sicherheit wird dies ja auch meist gemacht, hab dann hier nach Benutzer Administrator gefiltert und da auch die Anmeldung und sonstige Ereignisse angezeigt bekommen. -Das Problem ist nur, dass das letzte Datum da 15.12.09 ist und sich das net aktualiesiert. -Ebenso kann ich die Daten nur als .evt datei abspeichern? Und wenn ich sie da öffne, werden die dann Aktuallisiert oder bleiben die gleich? (Muss die Daten 6Monate gespeichert haben, und muss die halt auch auf einen externen Speicher anlegen, nur wenn die dann sowieso aktuallisiert werden...) -Wenn ich einen neuen Reiter erstelle wo ich den Filter auf Admin lasse, wird der beim schließen wieder gelöscht.. kann man das net so abspeichern, dass es immer bleibt, auch bei neustart.. mfg BlackDragon