Discussion:
Struktur der Sysevent.evt
(zu alt für eine Antwort)
Jörg Eckersberg
2005-10-07 13:43:24 UTC
Permalink
Hallo,

ich möchte die Ereignisanzeige von Windows XP auswerten.
Es müsste die Datei \windows\system32\config\sysevent.evt sein.
Wenn ich die Datei öffne, kann ich nicht erkennten, wo die Datensätze
getrennt werden und welche Struktur die einzelnen Datensätze haben.
Für Hilfe wäre ich dankbar.

Jörg
Christoph Bail
2005-10-07 22:03:03 UTC
Permalink
Post by Jörg Eckersberg
Hallo,
Moin Jörg,
Post by Jörg Eckersberg
ich möchte die Ereignisanzeige von Windows XP auswerten.
Es müsste die Datei \windows\system32\config\sysevent.evt sein.
Wenn ich die Datei öffne, kann ich nicht erkennten, wo die Datensätze
getrennt werden und welche Struktur die einzelnen Datensätze haben.
Für Hilfe wäre ich dankbar.
entsprechende Programmierkenntnisse vorausgesetzt könntest Du dies über
Funktionen von Windows realisieren:
OpenEventLog()
ReadEventLog()
CloseEventLog()
Post by Jörg Eckersberg
Jörg
Gruß

Christoph
Jörg Klemenz
2005-10-08 23:30:05 UTC
Permalink
Post by Christoph Bail
Post by Jörg Eckersberg
ich möchte die Ereignisanzeige von Windows XP auswerten.
entsprechende Programmierkenntnisse vorausgesetzt könntest Du dies über
Entsprechende Mausschubskentnisse vorausgesetzt könnte man das auch über
die kostenlose Website von Microsoft herunterladen:

http://www.microsoft.com/technet/scriptcenter/


strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colLoggedEvents = objWMIService.ExecQuery _
("Select * from Win32_NTLogEvent Where Logfile = 'Application'")

For Each objEvent in colLoggedEvents
Wscript.Echo "Category: " & objEvent.Category
Wscript.Echo "Computer Name: " & objEvent.ComputerName
Wscript.Echo "Event Code: " & objEvent.EventCode
Wscript.Echo "Message: " & objEvent.Message
Wscript.Echo "Record Number: " & objEvent.RecordNumber
Wscript.Echo "Source Name: " & objEvent.SourceName
Wscript.Echo "Time Written: " & objEvent.TimeWritten
Wscript.Echo "Event Type: " & objEvent.Type
Wscript.Echo "User: " & objEvent.User
Next
--
"Jeder schließt von sich auf andere
und vergisst, dass es
auch anständige Menschen gibt."
Christoph Bail
2005-10-08 23:59:56 UTC
Permalink
Post by Jörg Klemenz
Post by Christoph Bail
Post by Jörg Eckersberg
ich möchte die Ereignisanzeige von Windows XP auswerten.
entsprechende Programmierkenntnisse vorausgesetzt könntest Du dies über
Entsprechende Mausschubskentnisse vorausgesetzt könnte man das auch über
http://www.microsoft.com/technet/scriptcenter/
[Entsprechendes Script]
Auch eine Möglichkeit. Ich vermute, dass der OP mit den Hinweisen der
anderen Poster wahrscheinlich mehr als mit meinem Vorschlag anfangen kann;-)

Na ja, wie so oft gibt es mehr als eine Lösung.

Gruß

Christoph
Michael Bednarek
2005-10-08 07:04:39 UTC
Permalink
On Fri, 7 Oct 2005 15:43:24 +0200, "Jörg Eckersberg"
Post by Jörg Eckersberg
ich möchte die Ereignisanzeige von Windows XP auswerten.
Es müsste die Datei \windows\system32\config\sysevent.evt sein.
Wenn ich die Datei öffne, kann ich nicht erkennten, wo die Datensätze
getrennt werden und welche Struktur die einzelnen Datensätze haben.
Für Hilfe wäre ich dankbar.
Versuch mal elogdmp.exe oder (besser) dumpel.exe (beide in verschiedenen
MS Resource Kits) oder psloglist.exe von Sysinternals.
--
Michael Bednarek http://mbednarek.com/ "POST NO BILLS"
Roman Schütz
2005-10-08 15:33:12 UTC
Permalink
Post by Jörg Eckersberg
Hallo,
ich möchte die Ereignisanzeige von Windows XP auswerten.
Es müsste die Datei \windows\system32\config\sysevent.evt sein.
Wenn ich die Datei öffne, kann ich nicht erkennten, wo die Datensätze
getrennt werden und welche Struktur die einzelnen Datensätze haben.
Für Hilfe wäre ich dankbar.
Einfach die Ereignisanzeige öffnen und das Protokoll als Textdatei oder
.csv exportieren.
Da kannst du dann diverse Software zum Auswerten drüber jagen ohne dir
Gedanken über die Struktur der Sysevent.evt zu machen.

Grüsse
Roman
Jörg Eckersberg
2005-10-11 05:50:54 UTC
Permalink
Das geht gerade nicht.
Ich muss wissen, wer wieviel Seiten gedruckt hat. Im Ereignisprotokoll steht
es drinn - aber nicht in der csv-Datei. leider-

Jörg
Michael H. Fischer
2005-10-11 06:05:35 UTC
Permalink
Post by Jörg Eckersberg
Ich muss wissen, wer wieviel Seiten gedruckt hat.
Dann schau dir das Teil hier mal an. Als Startpunkt für weitere Entwicklung
sollte das ausreichen:

http://www.syneticon.de/service/w2k/printaccounting.zip

MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Die XP Nano FAQ: http://www.derfisch.de/xpnf.php
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html
Jörg Eckersberg
2005-10-11 13:19:18 UTC
Permalink
Das könnte das richtige sein.
Kim Huebel
2005-10-11 14:01:09 UTC
Permalink
Post by Jörg Eckersberg
Das geht gerade nicht.
Ich muss wissen, wer wieviel Seiten gedruckt hat. Im Ereignisprotokoll steht
es drinn - aber nicht in der csv-Datei. leider-
Der Vollständigkeit halber:

http://www.andtechnologies.com/ - Pcounter wäre deins..

regards, Kim
--
---===### http://www.sota-saarland.de.vu ###===---
###===--- SOTA-Regionalmanager DL/SR ---===###
`----------------------------------´
How not to do a quoting: <***@gmail.com>
Loading...