Security EventLog auswerten

[AustriaWien 10]

Hi,

 

ich möchte ein Sicherheits-EventLog (liegt als .evt file vor) etwas genauer auswerten als der eventviewer das zulässt.

und zwar möchte ich auch nach elementen sortieren/gruppieren, die in den details vorkommen (die man erst sieht wenn man auf den eventeintrag doppelklickt)

 

kennt da jemand ein gutes tool dafür?

muss nix kompliziertes sein.

wenn das alles als .csv-file exportierbar wäre, wo diese dinge nebeneinander stehen würde, würd ich das in excel auswerten.

aber so .......

 

wie gesagt, kennt da jemand ein gutes tool dafür?

oder ne gute lösung??

 

danke vorab

lg

D.

[olc 18]

Hi,

 

wenn nicht MOM oder ähnliche Produkte bei Euch eingesetzt werden, kannst Du das auf die "altmodische" Art und Weise erreichen, indem Du einen von Dir angesprochenen Export durchführst.

 

Dafür gibt es sehr viele Möglichkeiten, drei Beispiele zum Export bzw. zur Auswertung sind

1. PsExec
   
2. der MS LogParser
   
3. die PowerShell:

    Get-Eventlog -logName Application | Export-CSV -path C:\export.csv

   
   

 

Viele Grüße

olc

[AustriaWien 10]

hi,

 

ich bekomme schon .evt-file geliefert.

das könnte ich auch als .csv-file bekommen.

allerdings stehen beim csv-file die details nicht in der gleichen zeile wie der event-"header", sondern dann untereinander.

bei excel-import habe ich dementsprechend den eintrag mit zeit, datum, id, etc... schön in einer zeile in den spalten nebeneinander und dann unten diverse details wie kraut und rüben durcheinander auf die spalten verteilt.

 

lg

D.

[NilsK 2.971]

Moin,

 

was hat deine Antwort mit olcs Empfehlungen zu tun? Hast du sie dir überhaupt angesehen? Log Parser z.B. ermöglicht dir exakt, was du willst (und noch viel mehr).

 

Gruß, Nils

[AustriaWien 10]

ok, evtl. lags am wort "exportieren".

das event-log wird gespeichert als .csv oder .txt oder .evt

 

bei logs mit dem inhalt wie

Type,Date,Time,Source,Category,Event,User,Computer

Success Audit,18.09.2008,13:17:24,Security,Logon/Logoff ,538,userXY,server007

Success Audit,18.09.2008,13:16:21,Security,Logon/Logoff ,540,userXY,server007

Success Audit,18.09.2008,12:40:42,Security,Logon/Logoff ,538,userXY,server007

Success Audit,18.09.2008,12:39:53,Security,Logon/Logoff ,538,userXY,server007

Success Audit,18.09.2008,12:39:45,Security,Logon/Logoff ,538,userXY,server007

 

funktioniert das auch wunderbar, da kann ich die empfehlungen von olcs bestätigen.

 

bei eventfiles mit inhalt àla:

 

18.09.2008,13:22:19,Security,Success Audit,Logon/Logoff ,538,NT AUTHORITY\ANONYMOUS LOGON,server007,"User Logoff:

User Name: ANONYMOUS LOGON

Domain: NT AUTHORITY

Logon ID: (0x0,0xC9492354)

Logon Type: 3

"

18.09.2008,13:22:19,Security,Success Audit,Logon/Logoff ,540,NT AUTHORITY\ANONYMOUS LOGON,server007,"Successful Network Logon:

User Name:

Domain:

Logon ID: (0x0,0xC9492354)

Logon Type: 3

Logon Process: NtLmSsp

Authentication Package: NTLM

Workstation Name: server007

Logon GUID: -

Caller User Name: -

Caller Domain: -

Caller Logon ID: -

Caller Process ID: -

Transited Services: -

Source Network Address: 192.168.123.123

 

... funktioniert das nicht mehr.

 

ich muss da leider nach details filtern, die nicht in der ersten zeile stehen.

aber evtl. funktioniert das eh mit log parser und ich hab da nur ne funktion übersehen.

jedenfalls soll die ausgabe wie in dem oberen beispiel aussehen, nur dass elemente aus den details auch in der gleichen zeile stehen.

geht das?

 

lg

D.

[NilsK 2.971]

Moin,

 

das sollte man mit dem Log Parser hinbekommen, dessen Filter sind sehr gut. Besteht nicht die Option, das Eventlog damit direkt auszulesen, statt über einen Export zu gehen? Das wäre das einfachste.

 

Gruß, Nils

[AustriaWien 10]

hi,

 

ja, LogParser ist ein recht gutes tool, keine frage.

ich verwende jetzt vorerst Log Parser Lizard um ein bequemes xls-file zu erstellen und die Auswertung/Reports mache ich vorerst mal in Excel bis ich über etwas besseres stolpere. :)

 

danke

lg

D.