Event Log Backup automatisiert

[retosmile 10]

Hallo zusammen

 

Der Verzweiflung nahe wende ich mich jetzt als letzten Hoffnungsschimmer noch an dieses Forum mit folgendem Problem:

 

1. Ist es möglich alle Event-Logs (Application, Security, System --> zwingend nötig) via Script (z.B. VB-Script) automatisiert und vorallem konsistent auf einen Netzwerkpfad zu speichern?

 

2. Mit folgendem Script ist das Speichern auf einem UNC-Pfad grundsätzlich möglich, jedoch können die Logs nicht von einem x-beliebigen Rechner eingesehen werden, sondern nur vom Ursprungs-Host.

 

**********************************************************

strComputer = "."

Set objWMIService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate,(Security,Backup)}!\\" & _

strComputer & "\root\cimv2")

 

 

Set colLogFiles = objWMIService.ExecQuery _

("Select * from Win32_NTEventLogFile Where LogFileName='Application'")

 

For Each objLogfile in colLogFiles

errBackupLog = objLogFile.BackupEventLog("C:\TEMP\Application_" & DATE & ".evtx")

 

If errBackupLog <> 0 Then

Wscript.Echo "Das Log wurde heute bereits gesichert."

End If

Next

 

 

Set colLogFiles = objWMIService.ExecQuery _

("Select * from Win32_NTEventLogFile Where LogFileName='System'")

 

For Each objLogfile in colLogFiles

errBackupLog = objLogFile.BackupEventLog("C:\TEMP\System_" & DATE & ".evtx")

 

If errBackupLog <> 0 Then

Wscript.Echo "Das Log wurde heute bereits gesichert."

End If

Next

**********************************************************

 

3. Es wäre auch gut, wenn mein Problem mit einer Drittanbieter-Freeware gelöst werden könnte, jedoch muss das ganze automatisiert (z.B. via Windows-Task) werden können.

 

4. Warum das Ganze? Provisioning lässt grüssen;-)

 

 

Vielen Dank im Voraus für Eure Hilfe

 

greetz

retosmile

[NilsK 2.777]

Moin,

 

mit Log Parser solltest du dir eine Lösung bauen können, die auf Export beruht. Dadurch könntest du die Logs z.B. gleich in eine SQL-Datenbank schreiben, was die Handhabung erheblich vereinfacht.

 

Download details: Log Parser 2.2

 

Gruß, Nils

[retosmile 10]

Werde mir den Log Parser mal anschauen.

 

Vermutlich scheitert dieser aber ja wie alles andere auch an den Event-Log Dateien (.evt oder .evtx).

 

SQL Server habe ich leider auch keinen zur Verfügung für diesen Zweck.

 

Gibt es allenfalls eine Möglichkeit, die gesamten *.evtx Files konsistent von einem x-beliebigen Server zu öffnen?

 

thanks & greetz

retosmile

[Dukel 436]

Was hast du genau vor? Monitoring von Systemen?

[retosmile 10]

Es geht eigentlich nur darum, eventuelle Problem, welche vor dem Neu-Provisionieren der Server vorhanden waren, nachzuvollziehen.

Das Problem ist, dass beim Provisioning die System-HDs ändern, wo die Eventlog Dateien gespeichert sind.

 

Daher wäre es optimal, einfach die EventLog-Files von 2 Wochen in einem Netzwerk-Share aufzubewahren, und diese von irgendeinem Management-Server aus öffnen zu können.

[NilsK 2.777]

Moin,

 

dann wäre eine Log-Parser-Lösung optimal. Muss ja nicht in einen SQL Server geschrieben werden, beim Exportformat hast du viele Freiheiten, z.B. CSV - das könntest du dann auch wieder mit dem Log Parser auswerten.

 

Gruß, Nils

[retosmile 10]

Die Implementation mit dem Log Parser sieht für mich doch ziemlich umständlich aus.

 

Gibt es nichts einfacheres als den Log Parser?

Wenn nicht, werde ich das Ding halt wohl oder übel mal ausprobieren...:-(

[NilsK 2.777]

Moin,

 

doch, natürlich gibt es Einfacheres für genau diese Aufgabe. In der Regel dann aber kostenpflichtig und nicht so flexibel ...

 

Gruß, Nils

[retosmile 10]

u die da wäre - die ewig kostenpflichtigen?;-)

[blub 115]

hi,

Ich habe win32_ntEventlogfile grad mit der Powershell probiert

 

PS D:\> $log=get-wmiobject win32_ntEventlogfile -filter 'Logfilename="System"'
PS D:\> $log.BackupEventlog("d:\backup_system.evt").returnvalue

 

Ich habe das evtx-Systemlog eines win7-Rechners problemlos auf einem anderen win7-Rechner öffnen können.

Evtx-Dateien wirst du wahrscheinlich nicht auf einem XP/Win2003 Rechner importieren können, umgekehrt ist kein Problem

 

blub

[Dukel 436]

Powershell kennt Eventlogs selber: get-eventlog

Da muss man nix mit Wmi machen.

[blub 115]

@dukel,

und wie sicherst du mit get-event ein Eventlog als .evt oder .evtx ?

 

blub

[Dukel 436]

Das habe ich noch nicht gebraucht und getestet.

Ich wollte das nur anmerken, evtl. hilft das um andere Dinge zu machen (export in Csv,...)

[NilsK 2.777]

Moin,

 

in der nächsten Woche gibt es auf faq-o-matic.net einen Artikel mit einer Beispiel-Implementierung der Log-Parser-Lösung.

 

Gruß, Nils

... ja, war ne längere Nacht gestern. :D

[retosmile 10]

Powershell sei Dank.

Habe wohl bei meinem letzten Versuch das Problem mit PowerShell zu lösen einen Fehler gemacht.

 

Jetzt muss ich so nur noch ein Script machen, welches mir alle gewünschten Logs so in den entsprechenden Ordner ablegt.....oder hat das bereits jemand gemacht???