retosmile 10 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Hallo zusammen Der Verzweiflung nahe wende ich mich jetzt als letzten Hoffnungsschimmer noch an dieses Forum mit folgendem Problem: 1. Ist es möglich alle Event-Logs (Application, Security, System --> zwingend nötig) via Script (z.B. VB-Script) automatisiert und vorallem konsistent auf einen Netzwerkpfad zu speichern? 2. Mit folgendem Script ist das Speichern auf einem UNC-Pfad grundsätzlich möglich, jedoch können die Logs nicht von einem x-beliebigen Rechner eingesehen werden, sondern nur vom Ursprungs-Host. ********************************************************** strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate,(Security,Backup)}!\\" & _ strComputer & "\root\cimv2") Set colLogFiles = objWMIService.ExecQuery _ ("Select * from Win32_NTEventLogFile Where LogFileName='Application'") For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog("C:\TEMP\Application_" & DATE & ".evtx") If errBackupLog <> 0 Then Wscript.Echo "Das Log wurde heute bereits gesichert." End If Next Set colLogFiles = objWMIService.ExecQuery _ ("Select * from Win32_NTEventLogFile Where LogFileName='System'") For Each objLogfile in colLogFiles errBackupLog = objLogFile.BackupEventLog("C:\TEMP\System_" & DATE & ".evtx") If errBackupLog <> 0 Then Wscript.Echo "Das Log wurde heute bereits gesichert." End If Next ********************************************************** 3. Es wäre auch gut, wenn mein Problem mit einer Drittanbieter-Freeware gelöst werden könnte, jedoch muss das ganze automatisiert (z.B. via Windows-Task) werden können. 4. Warum das Ganze? Provisioning lässt grüssen;-) Vielen Dank im Voraus für Eure Hilfe greetz retosmile Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Moin, mit Log Parser solltest du dir eine Lösung bauen können, die auf Export beruht. Dadurch könntest du die Logs z.B. gleich in eine SQL-Datenbank schreiben, was die Handhabung erheblich vereinfacht. Download details: Log Parser 2.2 Gruß, Nils Zitieren Link zu diesem Kommentar
retosmile 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 Werde mir den Log Parser mal anschauen. Vermutlich scheitert dieser aber ja wie alles andere auch an den Event-Log Dateien (.evt oder .evtx). SQL Server habe ich leider auch keinen zur Verfügung für diesen Zweck. Gibt es allenfalls eine Möglichkeit, die gesamten *.evtx Files konsistent von einem x-beliebigen Server zu öffnen? thanks & greetz retosmile Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Was hast du genau vor? Monitoring von Systemen? Zitieren Link zu diesem Kommentar
retosmile 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 Es geht eigentlich nur darum, eventuelle Problem, welche vor dem Neu-Provisionieren der Server vorhanden waren, nachzuvollziehen. Das Problem ist, dass beim Provisioning die System-HDs ändern, wo die Eventlog Dateien gespeichert sind. Daher wäre es optimal, einfach die EventLog-Files von 2 Wochen in einem Netzwerk-Share aufzubewahren, und diese von irgendeinem Management-Server aus öffnen zu können. Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Moin, dann wäre eine Log-Parser-Lösung optimal. Muss ja nicht in einen SQL Server geschrieben werden, beim Exportformat hast du viele Freiheiten, z.B. CSV - das könntest du dann auch wieder mit dem Log Parser auswerten. Gruß, Nils Zitieren Link zu diesem Kommentar
retosmile 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 Die Implementation mit dem Log Parser sieht für mich doch ziemlich umständlich aus. Gibt es nichts einfacheres als den Log Parser? Wenn nicht, werde ich das Ding halt wohl oder übel mal ausprobieren...:-( Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Moin, doch, natürlich gibt es Einfacheres für genau diese Aufgabe. In der Regel dann aber kostenpflichtig und nicht so flexibel ... Gruß, Nils Zitieren Link zu diesem Kommentar
retosmile 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 u die da wäre - die ewig kostenpflichtigen?;-) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 hi, Ich habe win32_ntEventlogfile grad mit der Powershell probiert PS D:\> $log=get-wmiobject win32_ntEventlogfile -filter 'Logfilename="System"' PS D:\> $log.BackupEventlog("d:\backup_system.evt").returnvalue Ich habe das evtx-Systemlog eines win7-Rechners problemlos auf einem anderen win7-Rechner öffnen können. Evtx-Dateien wirst du wahrscheinlich nicht auf einem XP/Win2003 Rechner importieren können, umgekehrt ist kein Problem blub Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Powershell kennt Eventlogs selber: get-eventlog Da muss man nix mit Wmi machen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 @dukel, und wie sicherst du mit get-event ein Eventlog als .evt oder .evtx ? blub Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Das habe ich noch nicht gebraucht und getestet. Ich wollte das nur anmerken, evtl. hilft das um andere Dinge zu machen (export in Csv,...) Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Moin, in der nächsten Woche gibt es auf faq-o-matic.net einen Artikel mit einer Beispiel-Implementierung der Log-Parser-Lösung. Gruß, Nils ... ja, war ne längere Nacht gestern. :D Zitieren Link zu diesem Kommentar
retosmile 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 Powershell sei Dank. Habe wohl bei meinem letzten Versuch das Problem mit PowerShell zu lösen einen Fehler gemacht. Jetzt muss ich so nur noch ein Script machen, welches mir alle gewünschten Logs so in den entsprechenden Ordner ablegt.....oder hat das bereits jemand gemacht??? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.