Windowsのプロトコル化-logParserを使用したログイン
Logparserを使用してすべてのWindowsログインをプロトコル化したい。アプリケーションまたはシステムではすべて正常に機能しますが、セキュリティでは機能しません。
スクリプトは次のようになります。
"C:\Program Files (x86)\Log Parser 2.2"\logparser.exe -i:EVT -o:TPL -tpl:"C:\scripts\CheckServices\Logparser.tpl" "SELECT TimeGenerated,EventID,EventType,EventTypeName,EventCategory,EventCategoryName,SourceName,Strings,ComputerName,SID,Message FROM \\127.0.0.1\Security WHERE TimeGenerated > TO_TIMESTAMP(SUB(TO_INT(TO_LOCALTIME(SYSTEM_TIMESTAMP())),1200)) AND EventType IN (1;2) ORDER BY TimeGenerated DESC" -q:ON -stats:OFF >> c:\temp\failed.html
(1200の時間枠は、そのサイクルでスクリプトを実行するときに意図的に実行されました)
2つのファイルを取得したいと思います。
- すべての失敗したログインでfailed.html
- すべてのログインを含むall.html
どうすればこれを達成できますか?
EventIDではなくEventTypeで本当にフィルタリングしたいですか?
EventType 1 =エラー、2 =警告。他のログには存在しますが、セキュリティログには存在しません。
セキュリティログには、8 =成功、16 =失敗のタイプのみが含まれます。
https://msdn.Microsoft.com/en-us/library/ms813548.aspx
エラーメッセージや問題の説明がないと、なぜ機能しないのかを正確に説明するのは困難です。クレイトンはおそらく正しい答えですが、スクリプト/タスクなどを起動する環境を確認する必要もあります。より高いレベルの特権が必要なため、セキュリティログにアクセスするのに十分な特権があります。
最後に、スクリプトの大ファンでない限り、同じことをリアルタイムで実行できるはずのイベントログ製品を調べることをお勧めします。たとえば、 EventSentry Light (完全に無料、登録なし)は、イベントをテキストファイルにリアルタイムで書き込むことができます。