Event Log Backup automatisiert

[retosmile]

Hallo zusammen

Der Verzweiflung nahe wende ich mich jetzt als letzten Hoffnungsschimmer noch an dieses Forum mit folgendem Problem:

1. Ist es möglich alle Event-Logs (Application, Security, System --> zwingend nötig) via Script (z.B. VB-Script) automatisiert und vorallem konsistent auf einen Netzwerkpfad zu speichern?

2. Mit folgendem Script ist das Speichern auf einem UNC-Pfad grundsätzlich möglich, jedoch können die Logs nicht von einem x-beliebigen Rechner eingesehen werden, sondern nur vom Ursprungs-Host.

**********************************************************
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security,Backup)}!\\" & _
strComputer & "\root\cimv2")


Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile Where LogFileName='Application'")

For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("C:\TEMP\Application_" & DATE & ".evtx")

If errBackupLog <> 0 Then
Wscript.Echo "Das Log wurde heute bereits gesichert."
End If
Next


Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile Where LogFileName='System'")

For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("C:\TEMP\System_" & DATE & ".evtx")

If errBackupLog <> 0 Then
Wscript.Echo "Das Log wurde heute bereits gesichert."
End If
Next
**********************************************************

3. Es wäre auch gut, wenn mein Problem mit einer Drittanbieter-Freeware gelöst werden könnte, jedoch muss das ganze automatisiert (z.B. via Windows-Task) werden können.

4. Warum das Ganze? Provisioning lässt grüssen;-)


Vielen Dank im Voraus für Eure Hilfe

greetz
retosmile

[NilsK]

Moin,

mit Log Parser solltest du dir eine Lösung bauen können, die auf Export beruht. Dadurch könntest du die Logs z.B. gleich in eine SQL-Datenbank schreiben, was die Handhabung erheblich vereinfacht.

Download details: Log Parser 2.2

Gruß, Nils

[retosmile]

Werde mir den Log Parser mal anschauen.

Vermutlich scheitert dieser aber ja wie alles andere auch an den Event-Log Dateien (.evt oder .evtx).

SQL Server habe ich leider auch keinen zur Verfügung für diesen Zweck.

Gibt es allenfalls eine Möglichkeit, die gesamten *.evtx Files konsistent von einem x-beliebigen Server zu öffnen?

thanks & greetz
retosmile

[Dukel]

Was hast du genau vor? Monitoring von Systemen?

[retosmile]

Es geht eigentlich nur darum, eventuelle Problem, welche vor dem Neu-Provisionieren der Server vorhanden waren, nachzuvollziehen.
Das Problem ist, dass beim Provisioning die System-HDs ändern, wo die Eventlog Dateien gespeichert sind.

Daher wäre es optimal, einfach die EventLog-Files von 2 Wochen in einem Netzwerk-Share aufzubewahren, und diese von irgendeinem Management-Server aus öffnen zu können.

[NilsK]

Moin,

dann wäre eine Log-Parser-Lösung optimal. Muss ja nicht in einen SQL Server geschrieben werden, beim Exportformat hast du viele Freiheiten, z.B. CSV - das könntest du dann auch wieder mit dem Log Parser auswerten.

Gruß, Nils

[retosmile]

Die Implementation mit dem Log Parser sieht für mich doch ziemlich umständlich aus.

Gibt es nichts einfacheres als den Log Parser?
Wenn nicht, werde ich das Ding halt wohl oder übel mal ausprobieren...:-(

[NilsK]

Moin,

doch, natürlich gibt es Einfacheres für genau diese Aufgabe. In der Regel dann aber kostenpflichtig und nicht so flexibel ...

Gruß, Nils

[retosmile]

u die da wäre - die ewig kostenpflichtigen?;-)

[blub]

hi,
Ich habe win32_ntEventlogfile grad mit der Powershell probiert

Code:

PS D:\> $log=get-wmiobject win32_ntEventlogfile -filter 'Logfilename="System"'
PS D:\> $log.BackupEventlog("d:\backup_system.evt").returnvalue

Ich habe das evtx-Systemlog eines win7-Rechners problemlos auf einem anderen win7-Rechner öffnen können.
Evtx-Dateien wirst du wahrscheinlich nicht auf einem XP/Win2003 Rechner importieren können, umgekehrt ist kein Problem

blub