hallo leute
gibt es eine möglichkeit den eventlog von workstations oder server auszulesen und evtl. weiter zu verarbeiten?
vielen dank, pla
eventlog auslesen
vielen dankhschriek hat geschrieben:Hallo pla!
Sie können das EventLog von Rechnern bisher nicht direkt, aber über eine WMI Query innerhalb eines ClientCommands auslesen:
SELECT * FROM Win32_NTLogEvent
hat ja gleich super funktioniert - darauf bezug nehmend stelle ich sofort folgende frage in den raum:
hat noch niemand eventlogs ausgelesen, type="fehler" herausgefiltert und damit automatisch ein ticket erstellt
ggf. auch über den umweg eines emails
ich meine, dass genau das DIE zentrale aufgabe richtung helpdesk sein sollte. vlt. gibt es solche commands ja bereits ...
danke, pla
hallo!
ich habe hier gerade leider keinen Rechner, aber das herausfiltern von Errors könnten Sie einfach der WMI Query überlassen, indem Sie an die Query noch sowas wie "where logtype = error" o.ä. dranhängen.
Das Erstellen eines Tickets würde ich Ihnen uber die von Ihnen bereits angesprochene Methode der Email erledigen, da wir Ihnen nicht empfehlen, direkt in irgendwelche DB Felder irgendwelche Daten einzufügen, da dadurch u.U. inkonsistenzen in der DB entstehen können
ich habe hier gerade leider keinen Rechner, aber das herausfiltern von Errors könnten Sie einfach der WMI Query überlassen, indem Sie an die Query noch sowas wie "where logtype = error" o.ä. dranhängen.
Das Erstellen eines Tickets würde ich Ihnen uber die von Ihnen bereits angesprochene Methode der Email erledigen, da wir Ihnen nicht empfehlen, direkt in irgendwelche DB Felder irgendwelche Daten einzufügen, da dadurch u.U. inkonsistenzen in der DB entstehen können
Mit freundlichen Grüßen,
H. Schriek
H. Schriek
So, nun hatte ich Gelegenheit, mal eben ein kleines Script zu bauen.
Als erstes möchte ich Ihnen jedoch die Microsoft Doku zu der Klasse des EventLogs empfehlen:
http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Für die Abfrage nehmen Sie bitte die folgende WMI Query:
Das Ergebnis speichern Sie bitte in einer ACMP Variable. Nicht schreibfaule Menschen nehmen sprechende Variablennamen. Ich habe den Variablennamen A genommen.
Unterhalb des "WMI Query" - Commands packen Sie bitte den Befehl "SMTP - Mail senden". Dort tragen Sie im Feld für den Nachrichten-Text z.B. folgendes ein:
Wenn Sie nun noch die fehlenden Angaben wie etwa den MailServer, den MailAccount usw. angeben, wird Ihnen der ACMP Scripter wahrscheinlich sehr viele Mails generieren, die vom Aufbau her so sind:
Sie sollten sich aber darüber im klaren sein, dass dieses Script Ihren Support evtl. "tot-bomben" wird.
In meinem (zugegebener Maßen mittlerweile total vermurksten) Windows Vista hat diese WMI-Eventlog Abfrage 4553 Treffer erzielt, d.h. für meinen Rechner würden so bereits 4553 Tickets erstellt, wenn nicht zuvor evtl. bereits Ihr MailServer blockt, weil er das für eine Spam-Flut hält.
Wenn man nun dieses Script auf z.B. 1000 Rechnern im Unternehmen ausführt, dann wird Ihnen der Support sicher ganz herzlichst danken.
Sie sollten also überlegen, ob Sie das so wirklich wollen oder ob Ihnen evtl. erstmal die reine Anzahl von Fehlern reicht oder Sie ggf. nur neuere Event haben möchten oder nur von einer bestimmten Applikation oder wie auch immer.
Ich hoffe, ich habe Ihnen damit ein klein wenig weitergeholfen und wüscnhe ein schönes Wochenende!
Als erstes möchte ich Ihnen jedoch die Microsoft Doku zu der Klasse des EventLogs empfehlen:
http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Für die Abfrage nehmen Sie bitte die folgende WMI Query:
Code: Alles auswählen
Select * from Win32_NTLogEvent Where EventType = 1
Unterhalb des "WMI Query" - Commands packen Sie bitte den Befehl "SMTP - Mail senden". Dort tragen Sie im Feld für den Nachrichten-Text z.B. folgendes ein:
Auf Rechner "%A.Computername%" ist im EventLog (im Bereich %A.LogFile%) der folgende Fehler aufgetreten:
EventCode: %A.EventCode%
Source: %A.SourceName%
Zeitpunkt: %A.TimeGenerated%
Message: %A.Message%
Wenn Sie nun noch die fehlenden Angaben wie etwa den MailServer, den MailAccount usw. angeben, wird Ihnen der ACMP Scripter wahrscheinlich sehr viele Mails generieren, die vom Aufbau her so sind:
Auf Rechner "HolgerPC" ist im EventLog (im Bereich Application) der folgende Fehler aufgetreten:
EventCode: 9954
Source: MSSQLSERVER
Zeitpunkt: 20090114170720.000000-000
Message: SQL Server-Fehler beim Kommunizieren mit dem Dienst zum Starten des Daemonprozesses für den Filter (Windows-Fehler: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.
). Fehler beim Starten des Daemonprozesses für den Volltextfilter. Die Volltextsuche ist nicht verfügbar.
Sie sollten sich aber darüber im klaren sein, dass dieses Script Ihren Support evtl. "tot-bomben" wird.
In meinem (zugegebener Maßen mittlerweile total vermurksten) Windows Vista hat diese WMI-Eventlog Abfrage 4553 Treffer erzielt, d.h. für meinen Rechner würden so bereits 4553 Tickets erstellt, wenn nicht zuvor evtl. bereits Ihr MailServer blockt, weil er das für eine Spam-Flut hält.
Wenn man nun dieses Script auf z.B. 1000 Rechnern im Unternehmen ausführt, dann wird Ihnen der Support sicher ganz herzlichst danken.
Sie sollten also überlegen, ob Sie das so wirklich wollen oder ob Ihnen evtl. erstmal die reine Anzahl von Fehlern reicht oder Sie ggf. nur neuere Event haben möchten oder nur von einer bestimmten Applikation oder wie auch immer.
Ich hoffe, ich habe Ihnen damit ein klein wenig weitergeholfen und wüscnhe ein schönes Wochenende!
Mit freundlichen Grüßen,
H. Schriek
H. Schriek