Bild

Über Inventory Windows Ereignisanzeige auslesen

Antworten
Alex15504
Beiträge: 18
Registriert: 29. Sep 2006, 08:20
Kontaktdaten:

Über Inventory Windows Ereignisanzeige auslesen

Beitrag von Alex15504 » 04. Nov 2008, 15:18

Hallo,

ist es möglich über das Inventory die Windows Ereignisanzeige auszulesen. Dies ist zwar nicht ganz Sinn und Zweck des Inventory kann aber ganz praktisch sein.

Eventuell könnte dies über eine WMI Abfrage möglich sein? Mir fehlt hierzu allerdings die nötige Abfragen SELECT ...?¿?.

Vielleicht wisst Ihr mehr

Vielen Dank

philipp.kiessler
Beiträge: 248
Registriert: 05. Feb 2007, 11:42
Kontaktdaten:

Beitrag von philipp.kiessler » 04. Nov 2008, 15:30

Ich hab leider keine Ahnung, aber wäre öfters schon eine coole Sache gewesen. Könnte allerdings heftig für die Datenbank werden der den Datenmengen, die da zusammen kommen...
Philipp Kießler

C-Riouz
Beiträge: 162
Registriert: 08. Dez 2007, 17:13
Wohnort: Südhessen
Kontaktdaten:

Beitrag von C-Riouz » 27. Nov 2008, 15:39

das mit der ereignisanzeige ist eine sehr gute idee wie ich finde.

evtl ließe sich das ja mit einer möglichkeit realisieren, selbst beeinflussen zu können ob alle infos, warnungen oder fehler aus dem eventlog abgegriffen werden sollen.

Alex15504
Beiträge: 18
Registriert: 29. Sep 2006, 08:20
Kontaktdaten:

Beitrag von Alex15504 » 04. Dez 2008, 10:41

Hallo,

Der SQL Sting für die Abfrage der Ereignisanzeige lautet.

SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application"

Anstelle von Application kann auch Security oder System stehen um die entsprechende Rubrik zu erhalten

Zusätzlich wollte ich die Abfrage durch "order by" und "limit" erweitern um die Einträge sortiert und begrenzt zu erhalten.
Leider funktioniert dies nicht. Aus irgendwelchen gründen wird die Abfrage vom Inventory ignoriert.

SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application" ORDER BY TimeWritten LIMIT 10
bzw.
SELECT * FROM Win32_NTLogEvent WHERE Logfile = "Application" ORDER BY TimeWritten LIMIT 0,10

Kann hierbei vielleicht jemand helfen?

Vielen Dank

philipp.kiessler
Beiträge: 248
Registriert: 05. Feb 2007, 11:42
Kontaktdaten:

Beitrag von philipp.kiessler » 19. Nov 2009, 12:02

Das ist ja kein SQL, sondern nur eine ähnliche Sprache. Unterstützt die "ORDER BY"? Wenn nein, dürfte das der Grund für's ignorieren sein.
Philipp Kießler

philipp.kiessler
Beiträge: 248
Registriert: 05. Feb 2007, 11:42
Kontaktdaten:

Re: Über Inventory Windows Ereignisanzeige auslesen

Beitrag von philipp.kiessler » 30. Apr 2010, 21:33

Ich hab in dieser Sache inzwischen eine kleinen Fortschritt erzielt.

Mit folgender WQL-Abfrage erreicht man, dass alle Events, die keine Hinweise sind, aus allen Logs ausgelesen werden.

Code: Alles auswählen

SELECT Logfile, Type, CategoryString, EventCode, EventIdentifier, SourceName, Message, Data, TimeGenerated, User FROM Win32_NTLogEvent WHERE EventType <> '3'
Bisher habe ich es nicht hinbekommen die Anzahl der Einträge zu begrenzen. Auch die Einschränkung auf ein bestimmtes Log funktioniert nicht.

Der große Nachteil dieser Abfrage ist, dass hierbei riesige Datenmengen zusammen kommen. Ich habe auf fast allen Clients komprimierte Inventory-Files von 700 KB bis 1 MB erhalten, was etwa 40 MB Inventory-XML entspricht. Normalerweise ist das komprimierte Inventory-File 20 KB groß. In Konsequenz ist der Dienst EmpInvSvc auf dem Masterserver mehrmals abgestürzt, weil er mit der unglaublichen Datenmenge nicht klar kam.

Hat von euch noch jemand eine Idee, wie man die Datenmenge noch über die WQL-Abfrage reduzieren könnte?

Unsere Hoffnung ist durch die Inventarisierung der EventLogs besser herausfinden zu können, ob es sich bei Fehlern, die bei den Clients auftreten, um einen systematischen oder zufälligen Fehler handelt. Leider sind die Indizien, die unsere User liefern, im Normal eher zu nichts zu gebrauchen. Manche beschweren sich nie, obwohl es Fehlfunktionen gibt, andere meckern ständig, obwohl der Rechner tut wie er soll.

Ich habe das Thema mal als Feature Request beim Support eingekippt. Vielleicht finden sich ja noch ein paar Leute, die Interesse an einer Lösung dafür hätten. Für Ideen zum Selbstlösen bin ich natürlich immer offen!
Philipp Kießler

LightTempler
Beiträge: 407
Registriert: 23. Aug 2010, 13:47
Kontaktdaten:

Re: Über Inventory Windows Ereignisanzeige auslesen

Beitrag von LightTempler » 02. Dez 2010, 11:22

Hier könnte es sich rentieren, auf VBS auszuweichen, um die Vorarbeiten zu leisten:

http://technet.microsoft.com/en-us/libr ... 10%29.aspx

EventQuery.VBS sollte auch unter XP laufen und bietet die benötigte, umfangreiche Parameterisierung.

Antworten

Zurück zu „Inventory“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast