HerrPaschulke 10 Geschrieben 18. April 2016 Melden Teilen Geschrieben 18. April 2016 Hi, ich habe ein evtx (alternativ csv) aus der ich gerne auswerten würde. Ich habe schon herausgefunden dass dies am besten mit dem Log Parser gehen soll, allerdings kenne ich mich nicht mit SQL-Statements aus. Welches Statement brauche ich denn um den "Objektname" und den "Primären Benutzername" abzufragen? Hier ein Beispiel eines Events (einer exportieren EVT-Datei) Geöffnetes Objekt: Objektserver: Security Objekttyp: File Objektname: ERSETZEN_RELEVANTER_PFAD Handle-ID: 25 Vorgangs-ID: - Prozess-ID: 2777891 Abbilddateiname: Primärer Benutzername: ERSETZEN_RELEVANTER_ANWENDER Primäre Domäne: ERSETZEN_RELEVANTER_DOMAINNAME Primäre Anmelde-ID: 4711 Clientbenutzername: ERSETZEN_RELEVANTE_IP Clientdomäne: - Clientanmelde-ID: - Zugriffe: Daten lesen (oder Verzeichnis auflisten) Attribute lesen Rechte: - Beschränkte SID-Anzahl: 0 Zugriffsmaske: 0x81 Wäre super wenn mir jemand helfen könnte. Hoffe ich habe mich halbwegs verständlich ausgedrück Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 (bearbeitet) Falls du keine grafikliche Aufbereitung (oder nur einfache via Grid) benötigst, tuts das doch auch mit Powershell:CSV Datei mit Powershell importieren, wie gewünscht aufbereiten und das Ergebnis ausgeben/exportieren. VG PSAdmin bearbeitet 25. April 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
HerrPaschulke 10 Geschrieben 25. April 2016 Autor Melden Teilen Geschrieben 25. April 2016 und was mache ich bei ca. 200 evt's? Dachte so was kann ich nur mit Log Parser. Kannst du mir mal ein Beispiel nennen? Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 26. April 2016 Melden Teilen Geschrieben 26. April 2016 (bearbeitet) Also ob sich der Aufwand lohnt muss man ermitteln, wenn man hier regelmäßig Daten benötigt, durchaus möglich. Log Parser ist hier aber womöglich einfacher und schneller für dich - hier kann ich dich leider aber nicht unterstützen. und was mache ich bei ca. 200 evt's? Dachte so was kann ich nur mit Log Parser. Kannst du mir mal ein Beispiel nennen? ich habe ein evtx (alternativ csv) Anbei ein Lösungsvorschlag in der PS: Ich gehe davon aus, je Event existiert eine CSV Datei - bietet sich hier an, da du das Objekt einfach importieren kannst. Wobei man via PS direkt die Eventlogs oder bestimmte Events von deinen Systemen abfragen kann... 1. Arraylist erzeugen (hier werden die sondierten Datensätze abgelegt-z.B. $events=New-Object System.Collections.ArrayList) 2. Alle CSV in einen Ordner kopieren - am einfachsten. 3. Alle Dateien des Ordners ermitteln (Get-ChildItem) - je nach Bedarf noch ein Filter setzen. 4..Foreach Schleife erstellen und alle Dateien des Ordners durchgehen 5. Innerhalb der Schleife eine CSV Importieren (import-csv) 6. Ein neues Objekt erzeugen - Attribute ObjektName & primärer Benutzername) - In der Initialisierung direkt die Attribute aus der CSV zuweisen. $event= New-Object PSObject -Property @{ ObjectName=[Platzhalter Variable] Username=[Platzhalter Variable] } #add to arraylist $events+=$event 7.Objekt zu Arraylist hinzufügen 8. Nach der Schleife Export-CSV, Outview-Grid oder in eine beliebige Datenbank schreiben oder auch in Visio visualisieren.. bearbeitet 26. April 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
HerrPaschulke 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 ich nutze Log Parser Studio mit diesem Query: /* New Query */ SELECT * FROM '[LOGFILEPATH]' WHERE EventID = 560 and (Strings like '%user1%' or Strings like '%user2%' or Strings like '%user3%') and not Strings like '%not_this_folder%' Funktioniert prima. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.