我想用logparser协议所有的Windowslogin。 一切工作正常的应用程序或系统,但不是在安全。
该脚本如下所示:
"C:\Program Files (x86)\Log Parser 2.2"\logparser.exe -i:EVT -o:TPL -tpl:"C:\scripts\CheckServices\Logparser.tpl" "SELECT TimeGenerated,EventID,EventType,EventTypeName,EventCategory,EventCategoryName,SourceName,Strings,ComputerName,SID,Message FROM \\127.0.0.1\Security WHERE TimeGenerated > TO_TIMESTAMP(SUB(TO_INT(TO_LOCALTIME(SYSTEM_TIMESTAMP())),1200)) AND EventType IN (1;2) ORDER BY TimeGenerated DESC" -q:ON -stats:OFF >> c:\temp\failed.html (当我们在那个循环中运行脚本时,有意地完成了1200的时间框架)
我想获得两个文件:
我怎样才能做到这一点?
你确定你真的想过滤EventType而不是EventID吗?
EventType 1 =错误,2 =警告,存在于其他日志中,但不存在于安全日志中。
安全日志将只包含types:8 =成功,16 =失败。
https://msdn.microsoft.com/en-us/library/ms813548.aspx
很难说清楚为什么没有错误信息或问题描述就无法正常工作。 克莱顿可能是正确的答案,但你也要确保你的环境启动你的脚本/任务/等。 有足够的权限来访问安全日志,因为它需要更高级别的权限。
最后,除非你是一个脚本编纂者,否则我也会build议你潜在地研究一个事件日志产品,它应该能够实时地做同样的事情。 例如, EventSentry Light (完全免费,无需注册)可以实时将事件写入文本文件。