Question Eventlog

Plus d'informations
il y a 14 ans 8 mois #1436 par balek
Eventlog a été créé par balek
Bonjour et bonne année a tous !!

J'aimerais utiliser le bout de script de la bibliotheque concernant les eventlog.
Je vais me servir de la partie pour la suppression du contenu de l'eventlog mais j'aimerais tout d'abord le sauvegader à un endroit precis.

J'ai tenté de le faire avec le fichier evt present dans [code:1]c:\windows\system32\config\*.evt [/code:1]mais cela ne fonctionne pas car il s'endommage lors de la copie ( avec copy-item)

Si vous avez un autre moyen, je suis preneur.

@ bientot!!<br><br>Message édité par: Arnaud, à: 9/01/08 17:21

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 14 ans 8 mois #1440 par Arnaud Petitjean
Réponse de Arnaud Petitjean sur le sujet Re:Eventlog
Bonjour Balek,

Effectivement en regardant de plus près la classe System.Diagnostics.EventLog du Framework .Net 2.0 il n'y a pas l'air d'y avoir une méthode permettant de sauvegarder un journal. Cependant je connais une autre technique (WMI) qui devrait te tirer d'affaire.

[code:1]
PS &gt; $journal = Get-WmiObject Win32_NTEventLogFile -computer MaMachineDistante
PS &gt; $journal[0].BackupEventlog('c:\backup-Application.evt')
[/code:1]

Cette requête WMI peut s'executer sur une machine distante en spécifiant le paramètre -computer, mais pour cela il faut que tu sois admin de la machine distante. Cependant tu peux aussi passer des credentials à Get-WmiObject.

D'autre part attention si tu exécutes la requête sur une machine distante, car le journal sera sauvé localement. A moins d'utiliser un chemin UNC ? Ca je sais pas, je n'ai pas essayé.

Tiens nous au courant de la suite ;) ,

Arnaud

MVP PowerShell et créateur de ce magnifique forum :-)
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ou d'un conseil ?

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 14 ans 8 mois #1442 par Lemaire Patrice
Réponse de Lemaire Patrice sur le sujet Re:Eventlog
Au moment de l'éxécution du BackUp j'ais une erreur concernant les droits d'éxécution ... Pourtant je suis en principe admin de ma machine ... comprend pas ...

Par contre, en revenant à DotNet on peut aussi faire :
[code:1]
$Format = @{Expression={$_.Category};Label=\&quot;Categorie\&quot;;width=10}, `
@{Expression={$_.Source};Label=\&quot;Process ID\&quot;;width=25}, `
@{Expression={$_.UserName};Label=\&quot;Compte User\&quot;;width=20}, `
@{Expression={$_.Message};Label=\&quot;Message\&quot;;width=100}
(New-Object -TypeName System.Diagnostics.EventLog -argumentlist Application).Entries `
| Format-Table $Format &gt; c:\backup-Application.evt
[/code:1]
A moins bien sur que la sauvegarde en question doive etre faite sous forme \&quot;Objet\&quot; et non \&quot;Texte\&quot;.

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 14 ans 8 mois #1443 par Arnaud Petitjean
Réponse de Arnaud Petitjean sur le sujet Re:Eventlog
Ce n'est pas parce que l'on est admin de sa machine que l'on a forcement les droits de tout faire. Notamment avec l'UAC de Windows Vista, par exemple.

Remplace donc le chemin par exemple vers C:\temp au lieu de C:\. J'ai pas de serveur sous la main pour tester mais en tout cas sous Vista ça fonctionne bien.

D'autre part, effectivement, le format généré est le format natif du gestionnaire des évènements et non texte. A voir donc en fonction du besoin...

Arnaud

MVP PowerShell et créateur de ce magnifique forum :-)
Auteur de 6 livres PowerShell aux éditions ENI
Fondateur de la société Start-Scripting
Besoin d'une formation PowerShell ou d'un conseil ?

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 14 ans 8 mois #1444 par balek
Réponse de balek sur le sujet Re:Eventlog
Merci encore pour toutes ces informations.

Arnaud, peux tu essayer :unsure: de m'expliquer ceci : [code:1]$journal[0].[/code:1] J'ai beaucoup de mal a avoir le reflexe d'utiliser cette ecriture. Je ne suis pas programeur mais j'ai compris plus ou moins l'utilisation.
Appelle t on cela un fonction ? un argument ?
Si j'ai bien saisi $journal[0] c'est le journal appli, [1] le security ... etc.

Si tu as aussi des liens interressant ou des livres à me conseiller( qui plus est en francais, mais faut pas rever), je serais vivement interresser.

Merci encore.

Je vous tiens au courant pour la mise en place du script.

Pour te repondre Spirit, ton script permet effectivement de créer ton fichier evt. Par contre de lors que je veux le reouvrir dans le gestionnaire d'evenement, Windows me dis que le fichier est endommagé.
Et effectivement , de la meme maniere j'ai aussi un problème de sécurité pour executer la methode BackupEventlog.( \&quot;Acces refusé\&quot;) Je lance pourant la commande en tant qu'admin de ma machine et je fais la manip uniquement en local sur mon xp.

Merci qd meme pour ta participation.

Tres bonne journée a tous !!

Message édité par: balek, à: 10/01/08 10:18<br><br>Message édité par: balek, à: 10/01/08 10:30

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 14 ans 8 mois #1445 par balek
Réponse de balek sur le sujet Re:Eventlog
Bah voila, en fouiant j'ai trouver une solution mais j'ai pas vraiment compris:

[code:1]$sec=gwmi \&quot;Win32_NTEventLogFile WHERE LogFileName='security'\&quot;
$sec.PSBase.Scope.Options.EnablePrivileges = $true
$sec.BackupEventlog(\&quot;C:\temp\sec.evt\&quot;«»)[/code:1]

Avec ceci, je sauvegarde bien mon *.evt et je peux le reouvir sans problème.

Autre problème: Comment zipper ce fichier evt ?? Pas simple ca apparement !!

Je posterai la fin du script dans les jours qui viennent.

La soluc ici : mow001.blogspot.com/2006/10/powershell-wmi-support-in-rc2.html

@+

Message édité par: balek, à: 10/01/08 10:47<br><br>Message édité par: balek, à: 10/01/08 11:20

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.089 secondes
Propulsé par Kunena