Bestimmte Informationen aus der Ereignisanzeige in eine TXT Datei?

[Leifu]

Hallo,

ich hoffe Ihr könnt mir weiterhelfen.

Ich brauche bestimmte Informationen (siehe Screenshot) in einer TXT Datei.

Dabei brauch ich den Benutzernamen, die IP, MAC und die Uhrzeit, das ganze soll dann in eine TXT Daeti einmal am Tag gespeichert werden. Hoffe das mir einer dabei helfen kann.

Gruss

Leifu

[Leifu]

Ich hab im Netzwerkrichtlinienserver noch eine Option gefunden womit ich die Protokolle in eine TXT Datei speichern kann. Jedoch ist da extrem viel drin. kann ich das über ein Batch noch filtern und zurecht schneiden ???

Hier mal ein Beispiel, davon brauch ich nun aber nur den Benutzername das Datum/Uhrzeit und IP Adresse und MAC. Jemand eine Idee ? Bin leider nicht so der Scripter.

<Event><Timestamp data_type="4">02/15/2013 11:07:09.580</Timestamp><Computer-Name data_type="1">SRV-D307-01</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-IP-Address data_type="3">172.17.43.105</NAS-IP-Address><NAS-Port data_type="0">0</NAS-Port><Called-Station-Id data_type="1">00-21-29-03-35-20:IT</Called-Station-Id><Calling-Station-Id data_type="1">BC-77-37-B0-1B-44</Calling-Station-Id><Framed-MTU data_type="0">1400</Framed-MTU><NAS-Port-Type data_type="0">19</NAS-Port-Type><Connect-Info data_type="1">CONNECT 0Mbps 802.11g</Connect-Info><Client-IP-Address data_type="3">172.17.43.105</Client-IP-Address><Client-Vendor data_type="0">9</Client-Vendor><Client-Friendly-Name data_type="1">CISCO-AP-D310</Client-Friendly-Name><User-Name data_type="1">schöps</User-Name><Proxy-Policy-Name data_type="1">Use Windows authentication for all users</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><SAM-Account-Name data_type="1">IT\testuser</SAM-Account-Name><Class data_type="1">311 1 172.17.43.90 01/13/2013 02:23:18 86614</Class><Authentication-Type data_type="0">5</Authentication-Type><NP-Policy-Name data_type="1">wlanabfrage</NP-Policy-Name><Fully-Qualifed-User-Name data_type="1">it.local/Schueler/ITA_0/Hendrick Test</Fully-Qualifed-User-Name><Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>

[MartinSt]

Using WEVTUTIL to Manage Event Logs :: Windows OS Security :: Articles & Tutorials :: WindowSecurity.com

[lupo49]

Hinweis am Rande: Der NPS kann auch in in eine SQL-Datenbank protokollieren. Mit Hilfe der Datenbank lassen sich dann z. B. auch schöne Reports erstellen.

[Saubatzen]

Andere Möglichkeit wäre noch mit Powershell den Eventlog direkt anzuzapfen und per select-object die für dich relevanten Daten auszulesen.

[Leifu]

Wie kann ich denn das in eine Datenbank schreiben ?

oder wie kann ich über powershell aus dem Eventlog etwas lesen ? Ich bin leider ein noob drin

[MartinSt]

installier dir mal Google

[Tiro]

Du kannst natürlich auch an ein Ereignis eine automatisierte Aufgabe hängen. Rechte Maustaste auf das Event und "Aufgabe an dieses Ereignis anhängen..." auswählen.