Beim letzten Regionaltreffen der PASS-Franken erwähnte Robert das schicke Tool "Log Parser" von Microsoft. Microsoft nennt es das "schweizer Taschenmesser" unter den Werkzeugen. Damit kann man mit einer SQL-artigen Syntax das Eventlog auswerten. Hier ein Beispiel:
C:\>LogParser "SELECT TimeGenerated, SourceName,
EventCategoryName, Message INTO report.txt FROM Security WHERE
EventID = 528 AND SID LIKE '%TESTUSER%'" -resolveSIDs:ON
Weitere Beispiele finden sich hier.
Anbei noch ein paar Links, die zum größten Teil von Klaus Oberdalhoff stammen (danke!):
- Homepage des Tools im ScriptCenter "Log Parser 2.2"
- Grafische Oberfläche für den Log Parser
- Bedienungshinweise von der University of Delaware Police
- Buch: "Microsoft Log Parser Toolkit" (16$)
- TechNet Webcast: IIS Data Mining with Log Parser 2.X – Level 300 – April 2004
- TechNet Webcast: Efficient Data Mining with Log Parser 2.2 (Level 300) – October 15, 2007