tuxhunt3r
Goto Top

VBS - Eventlog-Einträge (Application- und Systemlog) der letzten 24 h anzeigen

Hallo ans Forum

Wie liest man mit VBS das Eventlog eines Remotecomputers aus?
Konkret will ich alle Warnungen und Errors der letzen 24h des Zielsystems angezeigt bekommen, und zwar die des Application- und des Systemlogs.
Wie geht das?

Bei Batch gehts mit dem Tool dumpel.exe, aber ich möchte von Batch endlich mal wegkommen....

Danke im Voraus


Gruss TuXHunT3R

Edit:
Falls die Unterscheidung von Application und Systemlog zu kompliziert wird, reicht es auch, wenn einfach von allen Logs die Warnungen und Errors herausgelesen werden.

Content-ID: 80783

Url: https://administrator.de/contentid/80783

Ausgedruckt am: 26.11.2024 um 22:11 Uhr

bastla
bastla 14.02.2008 um 22:14:28 Uhr
Goto Top
Hallo TuXHunt3R!

Als Basis (mit ein wenig Formatierung):
strComputer = "Remotecomputer"  
strPath = "D:\Eventlog_EW.csv"  
strDelim = ";"  
intDays = 1 'ab gestern (Datum - 1)  

strDate = CStr(Mid(Date - intDays, 7, 4)) & CStr(Mid(Date - intDays, 4, 2)) & CStr(Mid(Date - intDays, 1, 2))

Set objFSO = CreateObject("Scripting.FileSystemObject")  
Set objFile = objFSO.CreateTextFile(strPath, True)

Set objWMI = GetObject("winmgmts:" & _  
	"{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")  
Set colLoggedEvents = objWMI.ExecQuery _
	("Select * from Win32_NTLogEvent Where " & _  
	"(Logfile = 'System' Or LogFile = 'Application') And " & _  
	"EventType < '3' And TimeWritten > '" & strDate & "'") 'nur Typ 1 (Error) und 2 (Warning)  

For Each objEvent in colLoggedEvents
	With objEvent
		strLine = .Logfile
		Select Case LCase(.Type)
		Case "error"  
			strLine = strLine & strDelim & "Fehler"  
		Case "warning"  
			strLine = strLine & strDelim & "Warnung"  
		Case Else 'dürfte hier nicht vorkommen  
			strLine = strLine & strDelim & "Anderer"  
		End Select
		strLine = strLine & strDelim & Mid(.TimeWritten, 7, 2) & "." & Mid(.TimeWritten, 5, 2) & "." & Mid(.TimeWritten, 1, 4)  
		strLine = strLine & strDelim & Mid(.TimeWritten, 9, 2) & ":" & Mid(.TimeWritten, 11, 2) & ":" & Mid(.TimeWritten, 13, 2)  
		strLine = strLine & strDelim & .SourceName
		If .Category <> "0" Then  
			strLine = strLine & strDelim & .Category
		Else
			strLine = strLine & strDelim & "Keine"  
		End If
		strLine = strLine & strDelim & .EventCode
		If .User <> "" Then  
			strLine = strLine & strDelim & .User
		Else
			strLine = strLine & strDelim & "Nicht zutreffend"		  
		End If
		strLine = strLine & strDelim & .ComputerName
	End With
	'WScript.Echo strLine 'zum Testen über cscript.exe  
	objFile.WriteLine strLine
Next
objFile.Close
Zur Vereinfachung (nur Datumsabfrage) werden alle Events seit gestern (und demnach < 48 Stunden) erfasst.

Noch ein paar Links:
Win32_NTLogEvent Class
How Can I Retrieve Just Audit Failures, Warnings, and Errors from My Event Logs?
Guy's Scripting Ezine 39 - WMI and Event Logs

Grüße
bastla
TuXHunt3R
TuXHunt3R 15.02.2008 um 13:03:49 Uhr
Goto Top
Danke, werds testen. Gebe dir heute oder morgen Bescheid.
TuXHunt3R
TuXHunt3R 18.02.2008 um 12:26:51 Uhr
Goto Top
Konnte es leider noch nicht testen. Dauert noch ein Weilchen.....
TuXHunt3R
TuXHunt3R 23.02.2008 um 17:55:37 Uhr
Goto Top
Hallo bastla

Könntest du mir diese Zeile ein bisschen ausdeutschen?
strDate = CStr(Mid(Date - intDays, 7, 4)) & CStr(Mid(Date - intDays, 4, 2)) & CStr(Mid(Date - intDays, 1, 2))
Begreif ich nicht ganz......
bastla
bastla 23.02.2008 um 18:14:35 Uhr
Goto Top
Hallo TuXHunt3R!

Ist ein wenig schwer zu erklären, weil sie eigentlich so aussehen sollte: face-wink
strDate = Mid(CStr(Date - intDays), 7, 4) & Mid(CStr(Date - intDays), 4, 2) & Mid(CStr(Date - intDays), 1, 2)
Oder noch besser so:
dtAbDatum = Date - intDays ' ab welchem Datum (Heute - intDays) soll das Log ausgewertet werden - Ergebnis im Format "TT.MM.JJJJ"  
strAbDatum = CStr(dtAbDatum) ' diese Datumsangabe in einen String umwandeln ...  
'  ... und diesen zerlegen und neu zusammensetzen, damit das Datum in der Form "JJJJMMTT" zur Verfügung steht  
strDate = Mid(strAbDatum, 7, 4) & Mid(strAbDatum, 4, 2) & Mid(strAbDatum, 1, 2)
Funktioniert haben sollte aber (wegen der impliziten Typkonversion durch VBS) auch die ursprüngliche Schreibweise - es waren so nur alle CStr() überflüssig.

Grüße
bastla
TuXHunt3R
TuXHunt3R 23.02.2008 um 18:26:59 Uhr
Goto Top
OK, danke. Melde mich eventuell noch mal...
TuXHunt3R
TuXHunt3R 23.02.2008 um 18:40:32 Uhr
Goto Top
Die Datumsangabe im WMI-Query muss also folgendermassen aussehen?
yyyyMMdd

Also, z.B. so:
20080223
bastla
bastla 23.02.2008 um 19:22:01 Uhr
Goto Top
Hallo TuXHunt3R!

Das vollständige Datums-/Zeitformat sieht so aus (kannst Du durch ein
WScript.Echo .TimeWritten
in der Schleife nachvollziehen):
20080223190532.000000+060
Es genügt aber für die Abfrage der Datumsanteil (entspricht dann "Datum 00:00 Uhr").

Grüße
bastla
bastla
bastla 23.02.2008 um 19:42:38 Uhr
Goto Top
... als Ergänzung:

Wenn Du tatsächlich die Anforderung "letzte 24 Stunden" exakt umsetzen willst, kannst Du es so versuchen:
...
intStd = 24

dtAb = DateAdd("h", -intStd, Now)  
strAb = CStr(dtAb)
strDate = Mid(strAb, 7, 4) & Mid(strAb, 4, 2) & Mid(strAb, 1, 2) & _
	Replace(Mid(strAb, 12), ":", "") & ".000000+060"  
...

Grüße
bastla
TuXHunt3R
TuXHunt3R 29.04.2008, aktualisiert am 18.10.2012 um 18:35:40 Uhr
Goto Top
Hallo bastla

Habe es in PowerShell umgesetzt, siehe hier:
PowerShell For Runaways - Part II

Problem damit gelöst!