Logparser nach faq-o-matic Anleitung

[surfacing 32]

Schönen guten Tag Zusammen,

 

ich bin gerade dabei die Anleitung von Nils auf faq-o-matic.net umzusetzen. ( http://www.faq-o-matic.net/2009/11/14/windows-ereignisse-mit-log-parser-berwachen/ ). Ich muss gestehen, wir raucht der Kopf etwas und es läuft noch nicht so rund wie ich es gerne hätte. Bei der Ausführung eventcollector.bat will er mir keine txt generieren.

 

Ich habe mir die Scriptfiles von http://www.faq-o-matic.net/download/40/  runtergeladen. Ich habe eine Freigabe erstellt in dem der Inhalt des "Server" Ordner sich befindet. Auf meinem Testserver führte ich die "Install_Logparser-Tasks.bat" und die Daten wurden korrekt in das Verzeichnis rüberkopiert.

 

Führe ich die eventcollector.bat aus über Scheduled Tasks, passiert rein gar nichts.

@echo off

set LPFILES="%ProgramFiles(x86)%\Log Parser 2.2\logparser.exe"

set LocalPath=c:\install\logparser



%LPFILES% file:%LocalPath%\eventcollector.sql?LOGFILE=System -o:CSV -fileMode:1 -headers:off

%LPFILES% file:%LocalPath%\eventcollector.sql?LOGFILE=Application -o:CSV -fileMode:1 -headers:off

%LPFILES% file:%LocalPath%\eventcollector.sql?LOGFILE=Directory\U0020Service -o:CSV -fileMode:0 -headers:off

%LPFILES% file:%LocalPath%\eventcollector.sql?LOGFILE=File\U0020Replication\U0020Service -o:CSV -fileMode:0 -headers:off

%LPFILES% file:%LocalPath%\eventcollector.sql?LOGFILE=DNS\U0020Server -o:CSV -fileMode:0 -headers:off
[

Inhalt der eventcollector.sql Datei. Und so wie ich die Anleitung verstehe, muss ich nur den Pfad bei Into anpassen.

-- call:

-- logparser file:thisfile.sql?OUTPUT_FILE="C:\path\file.html"+SERVER=SRV01+LOGFILE=Directory\U0020Service

--           -i:EVT -o:TPL -tpl:C:\path\htmltemplate.tpl -direction:BW



SELECT   Eventlog

       , ComputerName

       , TO_UTCTIME(TimeGenerated)

       , EventID

       , EventTypeName

       , SourceName

       , Message

INTO C:\install\logparser\eventcollector.txt

FROM %LOGFILE%

where sub(to_int(TO_UTCTIME(TimeGenerated)), to_int(TO_UTCTIME(system_timestamp()))) > -604800

and EventTypeName <> 'Information event'

Wenn ich die "eventcollector.bat" in der cmd ausführe, spukt er mir folgendes aus.

C:\install\logparser>eventcollector.bat



Statistics:

-----------

Elements processed: 18539

Elements output:    17

Execution time:     0.41 seconds





Statistics:

-----------

Elements processed: 43733

Elements output:    0

Execution time:     0.74 seconds



WARNING: Input format not specified - using TEXTLINE input format.

Error: SELECT clause: Syntax Error: unknown field 'Eventlog'



To see valid fields for the TEXTLINE input format type:

LogParser -h -i:TEXTLINE

WARNING: Input format not specified - using TEXTLINE input format.

Error: SELECT clause: Syntax Error: unknown field 'Eventlog'



To see valid fields for the TEXTLINE input format type:

LogParser -h -i:TEXTLINE

WARNING: Input format not specified - using TEXTLINE input format.

Error: SELECT clause: Syntax Error: unknown field 'Eventlog'



To see valid fields for the TEXTLINE input format type:

LogParser -h -i:TEXTLINE

Habe auch die Hilfe angesehen bezüglich TEXTLINE, jedoch bin ich auch nicht schlauer als vorher.

 

Momentan sehe ich den Wald vor lauter Bäumen nicht.

 

Falls jemand eine Idee hat, wo ich einen Fehler gemacht habe, wäre ich sehr verbunden.

 

[NilsK 2.934]

Moin,

 

die drei Fehler im unteren Output entstehen wahrscheinlich, weil es die Protokolle "Diorectory Service", "File Replication Service" und "DNS Server" auf dem System nicht gibt. Die ersten beiden Protokolle ("System" und "Application") liest Logparser ja offenbar korrekt aus. Kommentiere also in der eventcollector.bat die letzten drei Aufrufe mal aus (REM davorschrieben) und schau noch mal.

Was passiert nun?

 

Gruß, Nils

[surfacing 32]

Exakt das wars, danke schön. Der Testserver ist ein Windows 2003 gewesen, sobald ich die anderen Zeilen auskommentiert habe, hat es geklappt.

 

Eine Frage zum Report. In der "Allservers.txt" habe ich ca 133 Events inkl. Warnings und Errors. Wenn ich die "CreateErrorReport.bat" ausführe wird der Report erstellt, jedoch ohne Inhalt. Eigentlich müssten die doch im Report auftauchen oder?

 

Folgendes spuckt er mir aus, wenn ich die "CreateErrorReport.bat" ausführe.  Innerhalb der der Bat habe ich nur die Settings verändert, wie in der Anleitung steht.

 

 

Creating Report: Number of Events in the Last 24 Hours ...
Task completed with parse errors.
Parse errors:
23 parse errors occurred during processing (To see details about the parse
  error(s), execute the command again with a non-zero value for the "-e"
  argument)

Statistics:
-----------
Elements processed: 133
Elements output:    0
Execution time:     0.01 seconds

Der Befehl "sleep" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Creating Report: Repeated Events of the Last Week ...
Task completed with parse errors.
Parse errors:
23 parse errors occurred during processing (To see details about the parse
  error(s), execute the command again with a non-zero value for the "-e"
  argument)
 

[NilsK 2.934]

Moin,

 

anscheinend läuft Logparser beim Zusammenstellen des Reports auf einen Fehler, das sagt ja deine Ausgabe. Erweitere doch mal bitte in der CreateErrorReport.bat den Logparser-Aufruf um "-e:1", dann sollten auf der Kommandozeile Details zu den Fehlern auftauchen.

 

Den "sleep"-Aufruf kannst du ersetzen durch

ping -n 5 127.0.0.1 > nul

(die Zahl hinter -n ist die Zahl der zu wartenden Sekunden)

 

Gruß, Nils

[surfacing 32]

Servus,

 

habe das ganze so wie du vorgeschlagen hast editiert und bin ein Schritt weiter. Es kommen keine Error Messages mehr, jedoch bleibt die HTML Seite ohne die Events als Inhalt. Über meinem Kopf leuchtet ein großes gelbes Fragezeichen. Wenn du noch eine Idee hast, wo mein Fehler sein könnte.

 

Folgedes spuckt mir die CMD aus.

 

Creating Report: Number of Events in the Last 24 Hours ...

Statistics:
-----------
Elements processed: 439
Elements output:    0
Execution time:     0.01 seconds

[NilsK 2.934]

Moin,

 

vielleicht gab es einfach in den letzten 24 Stunden keine Warnungen oder Fehler? Ist ja nun nicht ganz unüblich.

 

Gruß, Nils

[surfacing 32]

Habe mal die Server prüft, sowohl Warnungen waren im System Ordner der Ereignisanzeige. Ich wechsel erstmal auf einen anderen Host um sicherzugehen, dass es nicht an meinem Testserver liegt, welcher irgendwie da mit rein spielt.

[NilsK 2.934]

Moin,

 

bislang hast du ja an den Aufrufen auch noch ncihts geändert, sondern nur die Ausgabe der Fehlermeldungen beeinflusst. Die eigentlichen Fehler scheinen noch zu bestehen, weswegen 0 Einträge ausgegeben werden.

 

Hast du denn nun detaillierte Fehlermeldungen erhalten?

 

Gruß, Nils

[surfacing 32]

Sorry wichtiges Detail habe ich unterschlagen. Die Errornachrichten stammen von Logdateien von 2x Windows 2003 Server, diese habe ich einfach aus dem Logordner gelöscht. Habe nun Logdateien von 3x Windows 2008 Server erstellen lassen.

[NilsK 2.934]

Moin,

 

aha. Und was soll ich mit dieser information jetzt anfangen?

 

Sorry, aber so kann ich nicht mal stochern. Nur so ins Blaue: Du bist dir sicher, dass du in allen Dateien, wo es nötig ist, die richtigen Pfade eingetragen hast?

 

Gruß, Nils

[surfacing 32]

Nein bin ich mir nicht mehr. Deswegen fange ich nochmal von vorne an, da ich den Überblick verloren habe. Irgendwo habe ich ein paar Fehler gemacht und ich find sie nicht. Dank dir Nils für deine Hilfe, ich melde mich wenn ich sicher bin, dass die richtigen Daten eingesetzt sind.

So endlich!

 

Es funktioniert nun richtig. Ich habe die alten Dateien alle gelöscht und von vorne angefangen. Das einzige was ich verändern musste war das abändern des sleep Aufruf wie von dir vorgeschlagen.

[NilsK 2.934]

Moin,

 

super, danke für die Rückmeldung! :)

 

Gruß, Nils