maxschaf

LogParser in Kombination mit LogParserLizard dürfte alle Wünsche erfüllen :) . Log Parser Lizard GUI (free edition) - Lizard Labs

als Alternative läuft die Sun Virtualbox problemlos auf Win2k8 afaik. Downloads - VirtualBox

Hallo wir betreiben einen Windows Server 2008 in einer Workgroup als Dateiserver und möchten jegliche Dateizugriffe protokollieren um etwaige Fehler lokalisieren zu können. Diese Protokolle sollten neben Uhrzeit, Rechner, Benutzer auch die Art des Zugriffes enthalten (Auslesen von Dateien, Erstellen von Dateien, Löschen von Dateien). Löse das bis jetzt über die eigene NTFS Überwachung, wo alle Zugriffe dann in der Ereignisanzeige-Sicherheit protokolliert werden. Mein Problem ist jetzt, dass das ziemlich unübersichtlich wird. Ich experimentiere jetzt schon einige Zeit mit den Filtern, schaffe es aber nicht eine übersichtliche Ansicht zu erstellen. - Generelle Frage: Wie macht ihr das? - Erstelle eigene XML Filter: Wie kann ich das Event Data "AccessList" mit dessen Daten, die mit "%%" + 4stelligeZahl dargestellt werden, abfragen? Mein Problem: <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[EventData[Data[@Name="AccessList"] and (Data="%%1537")]]</Select> </Query> </QueryList> Ich möchte alle Ereignisse listen, die im Log unter "AccessList" den Wert "%%1537" (DELETE) stehen haben. In dieser Form funktioniert das aber nicht, da er mir das "%%1537" nicht frisst. Ich vermute, dass es an den %% liegt. Wie formuliert man diese Abfrage richtig in XPath Event Viewer - Wikipedia, the free encyclopedia ? So sieht ein beispielhafter LOG aus, der mir angezeigt werden soll mit der obigen Abfrage: - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> - <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> <EventID>4663</EventID> <Version>0</Version> <Level>0</Level> <Task>12800</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2009-08-28T20:56:13.122Z" /> <EventRecordID>53144</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="80" /> <Channel>Security</Channel> <Computer>WIN-LRZHQKRRMKW</Computer> <Security /> </System> - <EventData> <Data Name="SubjectUserSid">S-1-5-21-1151906514-266493343-1065388542-1000</Data> <Data Name="SubjectUserName">test</Data> <Data Name="SubjectDomainName">WIN-LRZHQKRRMKW</Data> <Data Name="SubjectLogonId">0x264f08</Data> <Data Name="ObjectServer">Security</Data> <Data Name="ObjectType">File</Data> <Data Name="ObjectName">C:\ftp\secops.exe</Data> <Data Name="HandleId">0x8f8</Data> <Data Name="AccessList">%%1537</Data> <Data Name="AccessMask">0x10000</Data> <Data Name="ProcessId">0x4</Data> <Data Name="ProcessName" /> </EventData> </Event> - Wie kann ich z.B. den Security Log oder benutzerdefinierte Ansichten (womit ich das schön vorsortieren könnte) automatisch zu bestimmter Uhrzeit als .csv exportieren, um das ganze mit Excel abzufragen bzw. in der Ereignisanzeige nicht anzeigbare Reiter/Spalten wie "SubjectUserName" oder "ObjectName" in Excel darstellen zu können? Danke für eure Hilfe!