часть 2
начало статьи читайте тут (http://mdanshin.blogspot.com/2008/06/1-ntfs.html).
Пункт 1 - "SELECT SID INTO c:\temp\output.csv"
SELECT - это стандартная команда на выборку. SID - означает что выбирать. Так мы ограничиваем количество полей. Если бы мы поставили вместо SID * (звездочку) то мы получили бы все поля которые содержатся в каждой записи. А так нас интересует только SID, который мы потом преобразуем в имя пользователя. При помощи вспомогательной команды INTO мы сообщаем LogParser'у где хотим разместить результаты запроса, а именно в файле c:\temp\output.csv.
Пункт 2 - FROM Security
при помощи команды FROM мы говорим, что данные нам нужны из конкретного места, а затем указываем из какого, а именно из Security. Имеется ввиду журнал безопасности Windows.
Пункт 3 - WHERE EventTypeName = 'Success Audit event' AND EventID = 560 AND Message LIKE '%%H:\\temp\\test%%' AND Message LIKE '%%ReadData (or ListDirectory)%%'"
Эта часть выглядит более ёмкой, но на самом деле все просто. По сути это фильтр. Что бы отфильтровать записи, которые нам не нужны. По условиям нашего сценария нас интересуют не все записи из журнала безопасности. Для того, что бы отфильтровать записи мы используем оператор WHERE а потом говорим, что нас интересуют только те записи которые имеют тип «'Success Audit event», код события 560, где описание содержит путь к нашей папке H:\\temp\\test и содержат фразу ReadData (or ListDirectory).
По сути, выделенная фраза является приблизительным переводом того запроса, который мы используем в качестве фильтра.
Осталось разобрать, что означает «-i:EVT -resolveSIDs:ON -o:CSV». Эти операторы сообщают программе информацию о том в каком формате мы подаем данные на вход, в каком формате хотим увидеть их на выходе, а так же даем инструкцию преобразовать SID в имя пользователя.
-i:EVT
Формат входящих данных
-resolveSIDs:ON
Разрешить преобразование SID в имя пользователя
-o:CSV
Формат выходных данных
ДОПОЛНИТЕЛЬНО:
Скачать LogParser
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en
В следующей раз я опишу процесс установки, операторы и приведу дополнительные примеры использования утилиты LogParser.
P.S.
Мне важно знать ваше мнение. Оставьте комментарий к статье. Если понравилось напишите "+" если нет напишите "-" или любой другой комментарий, который поможет сделать посты более качественными.
+ Продолжай в том же духе :)
ОтветитьУдалитьКстати пара опечаток - "Пунк 1" и "-i-EVT" :)
Спасибо за комментарий. Опечатки исправлены!
ОтветитьУдалитьИнтересно, как раз искал подобное.
ОтветитьУдалитьОчень интересная статья! Если есть опыт работы с Log Parser'ом через COM, то можно какие-нибудь примеры привести?
ОтветитьУдалитьК сожалению с COM практически не работал. :(
ОтветитьУдалитьСпасибо за оперативный ответ! А не знаете случайно, где можно подобную информацию поискать?
ОтветитьУдалитьБоюсь, что в данном вопросе, кроме всемогущего гугла подсказать ничего не могу.
ОтветитьУдалить+
ОтветитьУдалить+
ОтветитьУдалитьКак раз искал подобную инфу, очень доходчего и ясно, благодарю!
ОтветитьУдалить+
ОтветитьУдалитьпродолжение будет?
Можно! Задайте тему - я сделаю! :)
ОтветитьУдалитьне могу разобраться - как на основании сохраненных системных журналов в txt-формате (разделители - табуляция) сделать отчет-выборку строк с несколькими определенными событиями?
ОтветитьУдалитьСходу не отвечу, давно не брал шашек в руки! ;) Напишите пожалуйста на support@danshin.ms и я обязательно отвечу Вам.
ОтветитьУдалить