Cautand prin Event Viewer – EventCombMT

By Andrei Ungureanu - Last updated: Thursday, October 15, 2009 - Save & Share - 2 Comments

Dintotdeauna cautatul prin Windows Event Logs a fost o problema. Cred ca daca ar fi renuntat la formatul ala binar ar fi fost mult mai simplu. Lucrurile au evoluat totusi incepand cu Vista/2008 dar parca nu suficient. inca e nevoie sa ne bazam pe solutii thirdparty sau sa apelam la scripturi. De fapt pe partea de scripting s-a avansat atat de mult incat nimeni nu se mai gandeste sa dezvolte tool-uri GUI.

Dar sa luam exemplul in care nu am in sistem centralizat de colectare al logurilor si trebuie sa caut ceva in cateva sute de servere? O sa-mi ia ceva timp nu? Sau nu o sa-mi ia deloc pentru ca o sa zic ca asa ceva e imposibil de realizat.

Prin scripting ar merge insa o sa va invit pe voi sa faceti asta in powershell. Eu in continuare in caz de situatii disperate folosesc un tool din Resource Kit (2000/2003) numit EventCombMT. Daca nu l-ati folosit pana in ziua de azi exista si o explicatie – descrierea de aici (Check replication?).

Iata si cum arata interfata:

image

Eventcombmt poate selecta toate DC-urile din domeniu si poate efectua cautari pe mai multe servere in paralel (da, este multithreading) pana la 100. Vine si cu cateva criterii de cautara predefinite, cea mai utila fiind cea pentru account lockouts:

image

Mai sunt si alte optiuni, unele nedocumentate:

image

 

Throttle CPU il “infraneaza” putin si limiteaza folosirea procesorului la maxim. In cateva cazuri masina de pe care l-am rulat statea numai in 100% CPU Usage.

Cu tot cu cache SIDs activat mi s-a parut destul de lent atunci cand cauti prin Security Logs (eh, am cautat si prin cateva milioane de inregistrari) dar de fiecare data si-a facut treaba.

Pentru fiecare server interogat genereaza un fisier text care arata cam asa:

6008,ERROR,EventLog,Tue Sep 15 01:53:24 2009,No User,The previous system shutdown at 12:05:03 AM on ?9/?15/?2009 was unexpected. 
The longest gap between all scanned records occurred at Tue Sep 15 02:36:06 2009 and was 14 days, 9 hours, 39 minutes, 48 seconds.
c:\temp\DC1-System_LOG.txt contains 1 parsed events.

In exemplul de mai sus am cautat evenimente de tip Error in logul System.

Data viitoare o sa facem asta cu scripturi.

PS: Functioneaza si pe Windows 2008/2008R2

Posted in Active Directory, Management and monitoring, Security, Windows Client, Windows Server • Tags: Top Of Page

2 Responses to “Cautand prin Event Viewer – EventCombMT”

Comment from Ovidiu Cucu
Time November 11, 2009 at 11:52 am

In comparatie, LogExpert-ul nostru
http://www.codexpert.ro/forum/viewtopic.php?f=35&t=341
mai are ceva mamaliga de mancat 🙂

BTW, Andrei.
E fainulet saitul vostru.

Ovidiu

Comment from Andrei Ungureanu
Time November 12, 2009 at 4:40 am

Multumesc Ovidiu. Pai poate facem un demo si de LogExpert.

Write a comment