EventLog auswerten

[Nimrod]

Hallo allerseits,

ich bin auf der Suche nach einem Tool, mit dem ich EventLog Dateien auswerten kann. Am Besten wäre es, wenn ich bestimmte Kriterien festlegen kann, nach denen das Log ausgewertet wird z.B. 5x falsche Anmeldung, Diensterrors, etc.

Ich suche allerdings keine Anwendung, die das ganze in Echtzeit prüft und Alarme durch die Gegend schickt, das ist zu Aufwändig. So eine Auswertung soll nach Bedarf möglich sein.

Es wäre super, wenn irgendjemand so ein Tool kennt, die Tools die ich bisher gefunden habe, sprengen den Rahmen meist gewaltig (vor allem finanziell).

[Terminal.7]

wäre das z. B. etwas, was du suchst -> http://www.eventreporter.com/de/Product/

[Nimrod]

Hhm, leider ist es nicht ganz was ich suche.

Also die Sache sieht folgendermaßen aus: Jeden Tag werden EventLogs von einigen Servern zentral an eine Stelle kopiert. Zu bestimmten Zeiten (z.B. monatsweise), müssen diese Protokolle Stichprobenhaft ausgewertet werden können. Hierbei muss ich dann einige Kriterien auswählen können, an Hand derer ich dann eine Liste von den entsprechenden Einträgen des EventLogs erhalte.
Zum Beispiel, alle Fehler eines best. Dienstes o.ä.

Ich möchte KEINE permanente Überwachung der Ereignisprotokolle (ist viel zu viel Aufwand und kostet zuviel Personalressourcen).

[HeikoBerlin]

Klingt irgendwie anders als nach dem ersten Beitrag..

Also vermutlich mehrere Textdateien nach Inhalt durchsuchen
und die Treffermenge in eine eigene Datei schreiben..
..das sollte mit Windows üblichen Batchbefehlen wie
FindStr und for Schleife doch eigentlich möglich sein
Zitat win 2000 Hife (findstr Beispiele):

Wenn Sie nach mehreren verschiedenen Suchausdrücken in einer
Dateimenge suchen möchten, erstellen Sie eine Textdatei, in
der jedes Suchkriterium auf einer neuen Zeile aufgeführt ist.
Sie können auch eine zweite Datei erstellen, die eine Liste
der zu durchsuchenden Dateien enthält. Um die Suchkriterien
in der Datei Suchdat.txt zum Durchsuchen der Dateien in
Dateilst.txt zu verwenden und anschließend die Resultate
in die Datei Resultat.aus zu schreiben,
geben Sie Folgendes ein:

findstr /g:suchdat.txt /f:dateilst.txt > resultat.aus

[Nimrod]

Funktioniert das auch mit .evt Dateien? Das ist nämlich das Format der Log-Dateien.
Ich weiß, dass man die auch als txt abspeichern kann, aber die Dateien werden zentral per Script von den Servern an eine zentrale Stelle kopiert.

[HeikoBerlin]

Ich habe immer Text-Format da ich dumpel verwende

Die EVT-Dateien liegen wohl im RAW Format
vor damit wird das dann auch nicht funzen.

Ich sehe ehrlich gesagt keinerlei Vorteil von evt
gegenüber txt Dateien - was dein Problem beweist.

[mietzekatz]

"http://www.eventid.net/eventreader/" .

[HeikoBerlin]

Mir ist zwar nicht klar ist ob damit mehrere evt, die
"von einigen Servern zentral an eine Stelle kopiert"
wurden auch lokal zu öffnen sind (lokal nur ein evt)
Aber zumindest wird das Einlesen der akt. Ereignisse
von mehreren PC's sowie deren Filterung damit scheinbar
machbar sein..
(muss ich mir mal nach dem XP-Updater Test ansehen)

@ mietzekatz
Besten Dank für deine wiederholt hilfreiche Ergänzung
scheinbar ein gutes Team - leider ein wenig selten

[Nimrod]

Hallo mietzekatz,

danke für den Link, dass ist genau sowas was ich gesucht hab.

MfG

freakms

[q3wert]

also ich habe folgendes bemerkt:

man kann von 2003 (und vermutlich auch XP) entsprechende bordmitteltools "entführen" und benutzen (wenns denn lizenzrechtlich abgedeckt ist).

man entführe:
- cmdlib.wsc
- scrptutl.dll
- eventquery.vbs

sobald cmdlib.wsc und scrptutl.dll via REGSVR32 im system registriert wurden, kann die eventquery.vbs benutzt werden...