Windows Ereignisprotokoll - Sicherheit auslesen
Es geht mir eigentlich nicht auf die Syntax, sondern um Speicherort in der WMI
Hallo Leute,
ich logge auf einem Windows PC die RDP Verbindungen mit. Diese werden in der Ereignissanzeige unter Sicherheit auch wunderbar dargestellt.
Diese Einträge wollte ich nun per vbs mit
auslesen
Leider scheinen diese Einträge aber nicht mit inbegriffen zu sein.
Kann mir jemand sagen, wo ich diese Einträge in der wmi finde?
DANKE
Hallo Leute,
ich logge auf einem Windows PC die RDP Verbindungen mit. Diese werden in der Ereignissanzeige unter Sicherheit auch wunderbar dargestellt.
Diese Einträge wollte ich nun per vbs mit
Set colLoggedEvents = objWMIService.ExecQuery("Select * from Win32_NTLogEvent )
Leider scheinen diese Einträge aber nicht mit inbegriffen zu sein.
Kann mir jemand sagen, wo ich diese Einträge in der wmi finde?
DANKE
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114211
Url: https://administrator.de/forum/windows-ereignisprotokoll-sicherheit-auslesen-114211.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
2 Kommentare
Neuester Kommentar
Prüfe doch mal ob Du per WMI auf alle Event.Log Dateien zugreifen kannst.
Ich hab hier ein ScriptomaticV2 generiertes Script zum Testen. Schau dir auch den Staus an.
Gruß
LotPings
Ich hab hier ein ScriptomaticV2 generiertes Script zum Testen. Schau dir auch den Staus an.
Gruß
LotPings
On Error Resume Next
Const wbemFlagReturnImmediately = &h10
Const wbemFlagForwardOnly = &h20
arrComputers = Array("localhost")
For Each strComputer In arrComputers
WScript.Echo "=============================================================="
WScript.Echo "Computer. . . . . . . . . . . : " & strComputer
WScript.Echo "=============================================================="
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_NTEventlogFile", _
"WQL", wbemFlagReturnImmediately + wbemFlagForwardOnly)
For Each objItem In colItems
WScript.Echo "AccessMask. . . . . . . . . . : " & objItem.AccessMask
WScript.Echo "Archive . . . . . . . . . . . : " & objItem.Archive
WScript.Echo "Caption . . . . . . . . . . . : " & objItem.Caption
WScript.Echo "Compressed. . . . . . . . . . : " & objItem.Compressed
WScript.Echo "CompressionMethod . . . . . . : " & objItem.CompressionMethod
WScript.Echo "CreationClassName . . . . . . : " & objItem.CreationClassName
WScript.Echo "CreationDate. . . . . . . . . : " & WMIDateStringToDate(objItem.CreationDate)
WScript.Echo "CSCreationClassName . . . . . : " & objItem.CSCreationClassName
WScript.Echo "CSName. . . . . . . . . . . . : " & objItem.CSName
WScript.Echo "Description . . . . . . . . . : " & objItem.Description
WScript.Echo "Drive . . . . . . . . . . . . : " & objItem.Drive
WScript.Echo "EightDotThreeFileName . . . . : " & objItem.EightDotThreeFileName
WScript.Echo "Encrypted . . . . . . . . . . : " & objItem.Encrypted
WScript.Echo "EncryptionMethod. . . . . . . : " & objItem.EncryptionMethod
WScript.Echo "Extension . . . . . . . . . . : " & objItem.Extension
WScript.Echo "FileName. . . . . . . . . . . : " & objItem.FileName
WScript.Echo "FileSize. . . . . . . . . . . : " & objItem.FileSize
WScript.Echo "FileType. . . . . . . . . . . : " & objItem.FileType
WScript.Echo "FSCreationClassName . . . . . : " & objItem.FSCreationClassName
WScript.Echo "FSName. . . . . . . . . . . . : " & objItem.FSName
WScript.Echo "Hidden. . . . . . . . . . . . : " & objItem.Hidden
WScript.Echo "InstallDate . . . . . . . . . : " & WMIDateStringToDate(objItem.InstallDate)
WScript.Echo "InUseCount. . . . . . . . . . : " & objItem.InUseCount
WScript.Echo "LastAccessed. . . . . . . . . : " & WMIDateStringToDate(objItem.LastAccessed)
WScript.Echo "LastModified. . . . . . . . . : " & WMIDateStringToDate(objItem.LastModified)
WScript.Echo "LogfileName . . . . . . . . . : " & objItem.LogfileName
WScript.Echo "Manufacturer. . . . . . . . . : " & objItem.Manufacturer
WScript.Echo "MaxFileSize . . . . . . . . . : " & objItem.MaxFileSize
WScript.Echo "Name. . . . . . . . . . . . . : " & objItem.Name
WScript.Echo "NumberOfRecords . . . . . . . : " & objItem.NumberOfRecords
WScript.Echo "OverwriteOutDated . . . . . . : " & objItem.OverwriteOutDated
WScript.Echo "OverWritePolicy . . . . . . . : " & objItem.OverWritePolicy
WScript.Echo "Path. . . . . . . . . . . . . : " & objItem.Path
WScript.Echo "Readable. . . . . . . . . . . : " & objItem.Readable
strSources = Join(objItem.Sources, ",")
WScript.Echo "Sources . . . . . . . . . . . : " & strSources
WScript.Echo "Status. . . . . . . . . . . . : " & objItem.Status
WScript.Echo "System. . . . . . . . . . . . : " & objItem.System
WScript.Echo "Version . . . . . . . . . . . : " & objItem.Version
WScript.Echo "Writeable . . . . . . . . . . : " & objItem.Writeable
WScript.Echo "--------------------------------------------------------------"
Next
Next
Function WMIDateStringToDate(dtmDate)
WMIDateStringToDate = CDate(Mid(dtmDate, 5, 2) & "/" & _
Mid(dtmDate, 7, 2) & "/" & Left(dtmDate, 4) _
& " " & Mid (dtmDate, 9, 2) & ":" & Mid(dtmDate, 11, 2) & ":" & Mid(dtmDate,13, 2))
End Function