none
Помогите с logparser'ом. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

     

    Господа, помогите решить задачу. Руководство душит - сил нет.

     

    Нужно из системного журнала безопасности (сохранен в отдельном файле) вытащить данные по обращению к конкретной папке (допустим название папки "Задачи отдела"), что бы на выходе получились удобочитаемые данные с информацией о количестве обращений сгруппированными по пользователю и дате. Аудит на success и failure включен, записи в журнал есть.

     
    Знаком с инструментом LogParser второй версии, но к сожалению не имею достаточных навыков его использования.
     
    если кто ни будь может поделиться готовым скриптом  - с меня пиво!
    20 февраля 2008 г. 10:03
    |
    Модератор

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

     

    http://www.microsoft.com/technet/scriptcenter/tools/logparser/lpexamples.mspx
    20 февраля 2008 г. 12:52
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Спасибки!

     

    Хотел готовый код, но уже сам наклипал. Блин, они там поля по своему называют, да еще SQL немного знать надо.

     

    20 февраля 2008 г. 14:21
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

     

    Вот никак понять не могу....

     

    пишу такой вот запрос:

     

    Образец запроса
    LogParser "SELECT RESOLVE_SID(SID) INTO output.log FROM security WHERE ( EventTypeName = 'Success Audit event' AND EventID = 560 AND Message LIKE '%DIR_NAME%' AND Message LIKE '%ReadData (or ListDirectory)%' AND RESOLVE_SID(SID) NOT LIKE '%USER_NAME%' )" -i:EVT -o:CSV

     

     

    На выходе ожидаю только данные которые в поле Description содержат DIR_NAME и ReadData (or ListDirectory Иными словами если запись в поле Description не содержит и ту и другую записи одновременно то она не должна попадать в output.log, но она попадает если хотя бы одно условие true!!! Почему? Что не так?

    20 февраля 2008 г. 18:22
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
     M.S.D. [mdanshin] написано:

     что бы на выходе получились удобочитаемые данные с информацией о количестве обращений сгруппированными по пользователю и дате

    попробуй File System Auditor v1.51

    имхо:  идеально подходит под задачу, правда использует не логи аудита, а своего клиента, зато пишет в SQL и имеет интерфес для создания отчетов.

    21 февраля 2008 г. 4:49
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Благодарю, вопрос с выбором продукта и метода обработки информации решен. Осталось только "отшлифовать" детали.

     

    Прошу помочь с LogParser'ом, если есть возможность.

    21 февраля 2008 г. 7:42
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Сделайте тему с вопросом.

     

    21 февраля 2008 г. 13:28
    |
    Модератор