Über Inventory Windows Ereignisanzeige auslesen

[Alex15504]

Hallo,

ist es möglich über das Inventory die Windows Ereignisanzeige auszulesen. Dies ist zwar nicht ganz Sinn und Zweck des Inventory kann aber ganz praktisch sein.

Eventuell könnte dies über eine WMI Abfrage möglich sein? Mir fehlt hierzu allerdings die nötige Abfragen SELECT ...?¿?.

Vielleicht wisst Ihr mehr

Vielen Dank

[philipp.kiessler]

Ich hab leider keine Ahnung, aber wäre öfters schon eine coole Sache gewesen. Könnte allerdings heftig für die Datenbank werden der den Datenmengen, die da zusammen kommen...

[C-Riouz]

das mit der ereignisanzeige ist eine sehr gute idee wie ich finde.

evtl ließe sich das ja mit einer möglichkeit realisieren, selbst beeinflussen zu können ob alle infos, warnungen oder fehler aus dem eventlog abgegriffen werden sollen.

[Alex15504]

Hallo,

Der SQL Sting für die Abfrage der Ereignisanzeige lautet.

SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application"

Anstelle von Application kann auch Security oder System stehen um die entsprechende Rubrik zu erhalten

Zusätzlich wollte ich die Abfrage durch "order by" und "limit" erweitern um die Einträge sortiert und begrenzt zu erhalten.
Leider funktioniert dies nicht. Aus irgendwelchen gründen wird die Abfrage vom Inventory ignoriert.

SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application" ORDER BY TimeWritten LIMIT 10
bzw.
SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application" ORDER BY TimeWritten LIMIT 0,10

Kann hierbei vielleicht jemand helfen?

Vielen Dank

[philipp.kiessler]

Das ist ja kein SQL, sondern nur eine ähnliche Sprache. Unterstützt die "ORDER BY"? Wenn nein, dürfte das der Grund für's ignorieren sein.

[philipp.kiessler]

Ich hab in dieser Sache inzwischen eine kleinen Fortschritt erzielt.

Mit folgender WQL-Abfrage erreicht man, dass alle Events, die keine Hinweise sind, aus allen Logs ausgelesen werden.

Code: Select all

SELECT Logfile, Type, CategoryString, EventCode, EventIdentifier, SourceName, Message, Data, TimeGenerated, User FROM Win32_NTLogEvent WHERE EventType <> '3'

Bisher habe ich es nicht hinbekommen die Anzahl der Einträge zu begrenzen. Auch die Einschränkung auf ein bestimmtes Log funktioniert nicht.

Der große Nachteil dieser Abfrage ist, dass hierbei riesige Datenmengen zusammen kommen. Ich habe auf fast allen Clients komprimierte Inventory-Files von 700 KB bis 1 MB erhalten, was etwa 40 MB Inventory-XML entspricht. Normalerweise ist das komprimierte Inventory-File 20 KB groß. In Konsequenz ist der Dienst EmpInvSvc auf dem Masterserver mehrmals abgestürzt, weil er mit der unglaublichen Datenmenge nicht klar kam.

Hat von euch noch jemand eine Idee, wie man die Datenmenge noch über die WQL-Abfrage reduzieren könnte?

Unsere Hoffnung ist durch die Inventarisierung der EventLogs besser herausfinden zu können, ob es sich bei Fehlern, die bei den Clients auftreten, um einen systematischen oder zufälligen Fehler handelt. Leider sind die Indizien, die unsere User liefern, im Normal eher zu nichts zu gebrauchen. Manche beschweren sich nie, obwohl es Fehlfunktionen gibt, andere meckern ständig, obwohl der Rechner tut wie er soll.

Ich habe das Thema mal als Feature Request beim Support eingekippt. Vielleicht finden sich ja noch ein paar Leute, die Interesse an einer Lösung dafür hätten. Für Ideen zum Selbstlösen bin ich natürlich immer offen!

[LightTempler]

Hier könnte es sich rentieren, auf VBS auszuweichen, um die Vorarbeiten zu leisten:

http://technet.microsoft.com/en-us/libr ... 10%29.aspx

EventQuery.VBS sollte auch unter XP laufen und bietet die benötigte, umfangreiche Parameterisierung.