eventlog auslesen

Alle Fragen rund um die ACMP Client Commands
Antworten
pla
Beiträge: 12
Registriert: Fr Jul 03, 2009 8:51 am

hallo leute

gibt es eine möglichkeit den eventlog von workstations oder server auszulesen und evtl. weiter zu verarbeiten?

vielen dank, pla
hschriek
Beiträge: 136
Registriert: Do Dez 29, 2005 6:09 pm

Hallo pla!

Sie können das EventLog von Rechnern bisher nicht direkt, aber über eine WMI Query innerhalb eines ClientCommands auslesen:

SELECT * FROM Win32_NTLogEvent
Mit freundlichen Grüßen,

H. Schriek
pla
Beiträge: 12
Registriert: Fr Jul 03, 2009 8:51 am

hschriek hat geschrieben:Hallo pla!

Sie können das EventLog von Rechnern bisher nicht direkt, aber über eine WMI Query innerhalb eines ClientCommands auslesen:

SELECT * FROM Win32_NTLogEvent
vielen dank
hat ja gleich super funktioniert - darauf bezug nehmend stelle ich sofort folgende frage in den raum:
hat noch niemand eventlogs ausgelesen, type="fehler" herausgefiltert und damit automatisch ein ticket erstellt :?: :?:
ggf. auch über den umweg eines emails :?: :?:

ich meine, dass genau das DIE zentrale aufgabe richtung helpdesk sein sollte. vlt. gibt es solche commands ja bereits ...

danke, pla
pla
Beiträge: 12
Registriert: Fr Jul 03, 2009 8:51 am

?? hat irgendwer eine idee ??

danke, pla
hschriek
Beiträge: 136
Registriert: Do Dez 29, 2005 6:09 pm

hallo!

ich habe hier gerade leider keinen Rechner, aber das herausfiltern von Errors könnten Sie einfach der WMI Query überlassen, indem Sie an die Query noch sowas wie "where logtype = error" o.ä. dranhängen.

Das Erstellen eines Tickets würde ich Ihnen uber die von Ihnen bereits angesprochene Methode der Email erledigen, da wir Ihnen nicht empfehlen, direkt in irgendwelche DB Felder irgendwelche Daten einzufügen, da dadurch u.U. inkonsistenzen in der DB entstehen können
Mit freundlichen Grüßen,

H. Schriek
hschriek
Beiträge: 136
Registriert: Do Dez 29, 2005 6:09 pm

So, nun hatte ich Gelegenheit, mal eben ein kleines Script zu bauen.

Als erstes möchte ich Ihnen jedoch die Microsoft Doku zu der Klasse des EventLogs empfehlen:
http://msdn.microsoft.com/en-us/library ... 85%29.aspx


Für die Abfrage nehmen Sie bitte die folgende WMI Query:

Code: Alles auswählen

Select * from Win32_NTLogEvent Where EventType = 1
Das Ergebnis speichern Sie bitte in einer ACMP Variable. Nicht schreibfaule Menschen nehmen sprechende Variablennamen. Ich habe den Variablennamen A genommen.

Unterhalb des "WMI Query" - Commands packen Sie bitte den Befehl "SMTP - Mail senden". Dort tragen Sie im Feld für den Nachrichten-Text z.B. folgendes ein:
Auf Rechner "%A.Computername%" ist im EventLog (im Bereich %A.LogFile%) der folgende Fehler aufgetreten:
EventCode: %A.EventCode%
Source: %A.SourceName%
Zeitpunkt: %A.TimeGenerated%
Message: %A.Message%

Wenn Sie nun noch die fehlenden Angaben wie etwa den MailServer, den MailAccount usw. angeben, wird Ihnen der ACMP Scripter wahrscheinlich sehr viele Mails generieren, die vom Aufbau her so sind:

Auf Rechner "HolgerPC" ist im EventLog (im Bereich Application) der folgende Fehler aufgetreten:
EventCode: 9954
Source: MSSQLSERVER
Zeitpunkt: 20090114170720.000000-000
Message: SQL Server-Fehler beim Kommunizieren mit dem Dienst zum Starten des Daemonprozesses für den Filter (Windows-Fehler: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.
). Fehler beim Starten des Daemonprozesses für den Volltextfilter. Die Volltextsuche ist nicht verfügbar.


Sie sollten sich aber darüber im klaren sein, dass dieses Script Ihren Support evtl. "tot-bomben" wird.
In meinem (zugegebener Maßen mittlerweile total vermurksten) Windows Vista hat diese WMI-Eventlog Abfrage 4553 Treffer erzielt, d.h. für meinen Rechner würden so bereits 4553 Tickets erstellt, wenn nicht zuvor evtl. bereits Ihr MailServer blockt, weil er das für eine Spam-Flut hält.
Wenn man nun dieses Script auf z.B. 1000 Rechnern im Unternehmen ausführt, dann wird Ihnen der Support sicher ganz herzlichst danken.
Sie sollten also überlegen, ob Sie das so wirklich wollen oder ob Ihnen evtl. erstmal die reine Anzahl von Fehlern reicht oder Sie ggf. nur neuere Event haben möchten oder nur von einer bestimmten Applikation oder wie auch immer.

Ich hoffe, ich habe Ihnen damit ein klein wenig weitergeholfen und wüscnhe ein schönes Wochenende!
Mit freundlichen Grüßen,

H. Schriek
Antworten